Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 009

Enumeração de contas

Revisado porCybersecurity entrepreneur & security researcher

O que é Enumeração de contas?

Enumeração de contasAtaque que abusa das respostas de uma aplicação para determinar que contas, e-mails ou telefones existem no sistema alvo.


A enumeração de contas explora diferenças no comportamento de uma aplicação entre contas existentes e inexistentes: mensagens de erro distintas nos fluxos de início de sessão, registo ou recuperação de palavra-passe, variações de tempo ou códigos de estado HTTP diferentes. Ao testar muitos identificadores candidatos, o atacante constrói uma lista de contas válidas que poderá depois atacar por phishing, credential stuffing ou password spraying.

A vulnerabilidade é comum em formulários de início de sessão ("utilizador desconhecido" vs "palavra-passe incorreta"), na recuperação de palavra-passe ("verifique o seu e-mail" vs "conta não encontrada") e no registo ("e-mail já registado"). Raramente é o objetivo final: a enumeração é um passo de reconhecimento que afina ataques posteriores ao eliminar as suposições. Um exemplo recente e concreto é o CVE-2025-69413 no Gitea (corrigido em 1.25.2): o endpoint /api/v1/user devolvia respostas distinguíveis para nomes de utilizador válidos e inválidos, permitindo aos atacantes mapear contas reais antes de credential stuffing ou spear-phishing.

Mesmo quando as mensagens de erro são uniformes, o tempo pode revelar informação: sistemas que apenas calculam o hash da palavra-passe fornecida quando o utilizador existe respondem de forma mensuravelmente mais rápida para contas desconhecidas. Por isso, defesas robustas combinam mensagens genéricas e idênticas; caminhos de código em tempo constante (executar sempre um hash fictício); notificações genéricas de recuperação de palavra-passe e de registo; rate limiting por IP e por conta; CAPTCHA em caso de abuso; e MFA para mitigar os ataques subsequentes. O caso de teste WSTG-IDNT-04 da OWASP codifica como o verificar.

flowchart TD
  A[O atacante submete um identificador candidato] --> B{A conta existe?}
  B -->|Sim| C["Sinal distinto:<br/>palavra-passe incorreta / hash lento / 200"]
  B -->|Não| D["Sinal distinto:<br/>utilizador desconhecido / resposta rápida / 404"]
  C --> E[Marcar identificador VÁLIDO]
  D --> F[Marcar identificador inválido]
  E --> G[Construir lista de contas válidas]
  G --> H[Credential stuffing / phishing / password spraying]
  C -.mensagem uniforme + tempo constante.-> I[Sinais idênticos: enumeração bloqueada]
  D -.mensagem uniforme + tempo constante.-> I

Exemplos

  1. 01

    Formulário de registo que indica 'este e-mail já está em uso', permitindo recolher e-mails válidos.

  2. 02

    Tempos de resposta diferentes em /login para utilizadores conhecidos e desconhecidos, usados para construir uma lista.

Perguntas frequentes

O que é Enumeração de contas?

Ataque que abusa das respostas de uma aplicação para determinar que contas, e-mails ou telefones existem no sistema alvo. Pertence à categoria Identidade e acesso da cibersegurança.

O que significa Enumeração de contas?

Ataque que abusa das respostas de uma aplicação para determinar que contas, e-mails ou telefones existem no sistema alvo.

Como se defender contra Enumeração de contas?

As defesas contra Enumeração de contas costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Enumeração de contas?

Nomes alternativos comuns: Enumeração de utilizadores, Enumeração de identificadores.

Termos relacionados