“Não tem por que se preocupar, nossos dados estão por aí faz tempo”.
“Esse vazamento novo não vale nada, qualquer um acessa o SUS”.
“Uma criança com R$ 15 pega seus dados no Telegram”.
Os novos vazamentos de dados pessoais importam, sim. Vamos comentar alguns fatos: os crimes cibernéticos cresceram 45% em 2024, segundo a Associação de Defesa de Dados Pessoais e do Consumidor. Isso significa que um a cada quatro brasileiros recebeu uma tentativa de golpe — e dentro desse número, 50% virou vítima.
De acordo com o DataSenado, mais de 40 milhões de brasileiros perderam dinheiro em 2024 via crime cibernético, como clonagem de cartão, fraude na internet ou invasão de contas bancárias.
Aqui no TecMundo relatamos vazamentos de dados de forma frequente desde 2014. De lá para cá, são mais de 10 anos e vimos um cenário mudar ao longo do tempo.
Hoje, as empresas estão um pouco mais transparentes com seu cliente quando falamos sobre incidentes cibernéticos. Note, “um pouco mais”. Além disso, vimos o nascimento de iniciativas governamentais importantes como a Lei Geral de Proteção de Dados (LGPD) e a Agência Nacional de Proteção de Dados (ANPD).
Apesar de um avanço positivo, por outro lado, recheados de meias-verdades e até desesperança, usuários de internet com frequência não enxergam mais a importância de novos vazamentos.
- O que é verdade: atualmente, o brasileiro praticamente já nasce com nome completo, CPF e RG vazados. Também não é difícil obter o número telefônico, a placa do carro e o endereço residencial de um cidadão.
- Os motivos? Credenciais vazadas e painéis de dados com informações institucionais como SUS e DETRAN são distribuídos (gratuitamente ou não) em aplicativos de mensagem e redes sociais.
Todo esse pacote cria um estado de meia-verdade em que estamos completamente perdidos e vendidos no que toca à proteção de dados.
E qual é a verdade? É esta: novos vazamentos aprimoram bases de dados e abrem margem para novos tipos de golpes.
Vamos de exemplos:
- Se você mudou de casa, um novo vazamento atualiza seu endereço residencial;
- Se você mudou de carro, um novo vazamento atualiza a placa do veículo;
- Se sua foto foi vazada, o processo de abertura de conta-laranja é facilitado;
- Se o seu histórico de compras foi vazado, é possível entender sua renda por engenharia social;
- Se vazou um pacote como este: “nome completo, sexo, email, CEP, CPF, CPNJ, telefone, celular, profissão, nome da mãe e pai, renda, saldo, número da conta, fotos e imagens de documentos”, você pode sofrer um roubo da identidade digital.
Os exemplos citados são apenas a ponta de um iceberg chamado cibercrime.
O mercado de cibersegurança brasileiro é gigantesco e composto por ótimos profissionais. Seria impossível incluir até um número mínimo deles. Mas conversamos com alguns para compartilharem suas opiniões e você acompanha agora — abaixo, veremos pontos repetidos, mas a redundância é importante para que você não saia daqui com qualquer tipo de dúvida.
Opiniões
Ronaldo Lemos, advogado, professor e pesquisador brasileiro, especialista em temas como tecnologia, mídia e propriedade intelectual:
“Cibersegurança é um dos temas centrais do presente. Os dados são valiosos, sua guarda requer responsabilidade. Quando vazam, podem causar danos irreversíveis”.
Anchises Moraes, Cyber Threat Intelligence Lead na Apura:
“O que mais me incomoda é que o mercado fica jogando a culpa pelos golpes nos usuários que compartilham informações nas redes sociais, sendo que, em minha humilde opinião, o principal problema são os incontáveis vazamentos de dados de empresas que alimentam os painéis e que são a base de todos os golpes”.
Ailton “Sushi com Abacate”, pesquisador de segurança (#BolhaDev):
“Existe uma falsa impressão de que se um dado vazou devido a um incidente de cibersegurança, não importa se ele vazar novamente em incidentes futuros. Ao contrário do que se imagina, dados de vazamentos não são instantaneamente compartilhados entre todos os cibercriminosos. De acordo com relatório da IBM, por exemplo, empresas levam em média mais de 290 dias para detectar e conter vazamentos. Cada vazamento aumenta as chances de que mais atores maliciosos acessem os dados, tornando mais fácil encontrar e explorar.
Outra falsa impressão é que todo dado vazado é explorado instantaneamente. Vazamentos normalmente contêm uma alta volumetria de informações, por isso, os cibercriminosos tentam automatizar e otimizar o processo de exploração focando em vítimas high-profile e dados que possam ser cruzados e complementados com os de outros vazamentos. Por isso, quanto mais vezes uma informação aparece em vazamentos, maior a probabilidade de ela ser usada em ataques de phishing, engenharia social ou roubo de credenciais.
Quanto mais vezes um dado aparece em vazamentos, mais ele é considerado quente, ou fresco, se tornando mais atrativo pros hackers”.
Cassius Clay Filho, mestrando em TI pela UFRN e especialista em nuvem pela PUC-MG, Devops engineer:
“Estamos em 2025 vivendo um dos maiores ciclos tecnológicos da história, com um boom para tecnologias emergentes, como inteligência artificial, IoT, dentre várias outras. E, ainda assim, com toda essa dependência tecnológica, negligenciamos de forma irresponsável o cuidado com os nossos dados e informações. Se tornou comum atualmente nos depararmos com inúmeros casos de vazamento de dados, até em grandes corporações, mas ainda assim seguimos achando que não é um problema. Na verdade, cada novo vazamento importa e muito para o nosso dia a dia.
Uma grande consequência disso — que às vezes passa até despercebida pela imersão tecnológica que vivemos — é a sofisticação e o planejamento dos golpes virtuais. Com o crescimento dos vazamentos por empresas que fazem parte do dia a dia de milhões de pessoas, os criminosos acabam possuindo algo muito importante para que as pessoas caiam em golpes virtuais, que é o contexto humano. Ao combinar informações vazadas de diferentes origens, é possível traçar os perfis das vítimas, direcionando ataques que são extremamente convincentes; assim, fica muito mais difícil identificar o que é ou não um golpe e torna as pessoas mais vulneráveis no meio virtual.
Esses novos vazamentos representam mais do que um CPF ou email exposto, mas todo um conjunto de informações que podem ser usadas nas mais diversas fraudes. Assim, com esse conjunto de dados de um único usuário em mãos, criminosos podem criar ataques cada vez mais personalizados e difíceis de serem detectados. A cada novo vazamento de informações, uma peça é adicionada ao quebra cabeça que é cuidar das nossas informações, por isso é fundamental que as empresas reforcem a segurança dos dados que armazenam e que nós usuários tenhamos práticas seguras online. Aumentar o nível de autenticação e segurança em nossas contas à primeira vista podem ser ações simples, mas que fazem total diferença para que não caiamos em golpes novos e cada vez mais sofisticados. Proteger nossos dados e informações é proteger nossa identidade”.
Kryp, membro anônimo do BlackEye Cyber Club
“Para mim, vazamentos acontecem porque são lucrativos. Cibercriminosos dependem de dados para aplicar golpes, enquanto advogados e profissionais de threat intelligence/OSINT precisam dessas informações para localizar alvos.
Além disso, o governo brasileiro não investe em segurança, nem recompensa profissionais por identificarem falhas. O Departamento de Segurança dos Estados Unidos, por exemplo, tem uma página na HackerOne, mas raramente vejo pagamentos sendo feitos — ainda assim, a plataforma está lá. Mesmo sem recompensa, muitos profissionais reportam vulnerabilidades porque isso agrega valor ao currículo.
Mesmo com investimentos, vazamentos continuarão acontecendo devido à lógica de oferta e demanda, mas há formas de minimizar os riscos”.
Noctivagant, membro anônimo do BlackEye Cyber Club
“Na minha visão, os vazamentos são importantes para nós, hacktivistas, pois nos permitem realizar operações baseadas em dados governamentais, identificando pedófilos, golpistas e outros criminosos.
No mercado, esses vazamentos são extremamente lucrativos. Dependendo da quantidade de pessoas afetadas, alguns podem valer mais de R$ 20 mil. Quando se trata de dados governamentais, o valor aumenta ainda mais. Criminosos costumam vender esses dados em fóruns ou trocam em grupos no Telegram. A prática de troca é mais comum do que parece. Se você tem um vazamento interessante e eu também tenho, podemos fazer uma troca. Assim, todos saem ganhando: você aumenta sua coleção de dados, e eu faço o mesmo. É uma dinâmica que movimenta esse mundo dos vazamentos.
Muitos desses vazamentos acontecem porque, aqui no Brasil, ainda não temos uma cultura consolidada do Bug Bounty, que é um programa de recompensa para profissionais da área que encontram esses bugs. Quando alguém descobre uma vulnerabilidade e a reporta, muitas vezes o site ou o governo não corrige o problema ou, pior ainda, trata esses profissionais como criminosos, mesmo que a intenção deles seja apenas reportar a falha para que seja corrigida.
Essa falta de incentivo e reconhecimento para quem age de forma ética acaba empurrando muitos profissionais para o lado errado, onde a lucratividade é maior e o risco de ser punido por tentar ajudar é menor. É um ciclo que só piora a situação da segurança digital no país”.
Renato Cunha, especialista em proteção contra fraudes e influenciador da cibersegurança
“Os vazamentos de dados precisam ser reportados o mais rápido possível para que as pessoas possam tomar as precauções necessárias para reduzir danos. Muitas empresas, quando sofrem um vazamento de dados, limitam-se apenas em divulgar uma nota genérica afirmando que os dados expostos não permitem acessos indevidos por terceiros na plataforma, mas, em contrapartida, essas informações ainda podem ser usadas em fraudes por pessoas mal intencionadas, como na abertura de contas bancárias fraudulentas e na obtenção de empréstimos em nome das vítimas. Por isso, a transparência é essencial!
Não é necessário tornar o caso público, até para evitar chamar atenção, mas os clientes afetados têm o direito de saber exatamente o que aconteceu e quando aconteceu, por um SMS no contato principal ou por meio de notificação dentro do app para que possam se precaver”.
Paulo Rená, Doutorando e Mestre em Direito, Estado e Constituição na Universidade de Brasília (UnB)
“A questão de que os dados perdem valor com o tempo, ou seja, a cada dia eles vão se desatualizando e, com isso, se desvalorizando. Por isso, por pior que tenha sido um vazamento, com o passar do tempo ele vai perdendo relevância e os riscos vão se reduzindo, à medida que as pessoas, por exemplo, mudam de endereço, a CNH perde a validade, etc.
Mas a cada novo vazamento, esse ‘decaimento’ volta à estaca zero e os riscos são todos renovados. Nunca é tarde demais para nos preocuparmos com novos vazamentos de dados pessoais”.
Daniel Xande, pesquisador de segurança
“Cada novo vazamento de dados se soma a um problema já gigantesco, uma pilha pitoresca, sem que haja uma punição real para os responsáveis por proteger essas informações. Emitir notas oficiais repletas de eufemismos apenas evidencia o esforço para minimizar a gravidade da exposição e da negligência envolvida.
Multas são importantes, mas claramente insuficientes — o estrago já está feito. A verdadeira solução está na prevenção. Se existem blitzes para flagrar motoristas sob efeito de álcool, por que não fiscalizações rigorosas para empresas que ignoram requisitos básicos de segurança? O descaso é tão grande que raramente se questionam antigos vazamentos, a origem das ligações indesejadas que já sabem nosso nome ou mesmo contas abertas sem o conhecimento do titular.
Os novos vazamentos só reforçam uma dura realidade: falar é fácil, agir é difícil”.
Julio della Flora, Hardware Hacker
“Cada novo vazamento de dados, mesmo diante do argumento de que ‘nosso CPF já está por aí’, traz consigo um risco adicional que não pode ser subestimado. Isso porque, a cada incidente, são expostas informações complementares que, quando associadas aos dados já vazados, formam perfis completos dos indivíduos. Essa ‘completude’ dos dados permite que criminosos realizem ataques de engenharia social muito mais refinados. Com detalhes como informações bancárias, endereços e históricos de transações, e técnicas como o spear phishing se tornam muito mais eficazes, facilitando a obtenção de credenciais e o acesso a sistemas sensíveis.
A exposição de novos dados também potencializa fraudes financeiras e o risco de roubo de identidade. Em cenários extremos, essas informações podem ser utilizadas para abrir contas fraudulentas, realizar empréstimos em nome das vítimas e, inclusive, assumir a identidade delas, causando danos irreversíveis na vida financeira e no histórico de crédito dos indivíduos. Além disso, em ambientes corporativos, a divulgação de credenciais e logs de acesso abre portas para invasões a sistemas internos, possibilitando ataques de ransomware, espionagem industrial e, em alguns casos, a paralisação completa das operações – o que gera não só prejuízos financeiros, mas também um abalo significativo na reputação da empresa.
Outro ponto crítico é que cada novo vazamento enriquece bancos de dados ilícitos usados por cibercriminosos para cruzar informações de diferentes fontes. Essa junção de dados não apenas aumenta a capacidade de ataque dos atores maliciosos, mas também abre caminho para estratégias maliciosas de longo prazo, onde a análise de padrões pode ser utilizada para coordenar ataques futuros com grande abrangência.
A Lei Geral de Proteção de Dados (LGPD) reforça a necessidade de uma comunicação imediata e transparente dos incidentes. O não cumprimento dessa obrigação não só acarreta multas expressivas e possíveis ações judiciais, mas também mina a confiança de clientes e investidores, prejudicando a reputação e a credibilidade das organizações. Em suma, cada novo vazamento representa um alerta para a necessidade de aprimoramento contínuo dos mecanismos de segurança, lembrando que a ‘normalização’ desses incidentes não diminui o seu potencial destrutivo”.
Fabio Assolini, pesquisador de segurança e Research Team Leader da Kaspersky
“Infelizmente, os incidentes de vazamentos de dados são, muitas vezes, minimizados em importância pelas empresas e pelos usuários, já que um em cada três brasileiros acredita que são comuns demais para serem alvo de golpes online por não ter nada a perder. É importante entender que, com tais dados em mãos, cibercriminosos podem fazer muita coisa. Dados pessoais são o combustível das fraudes financeiras no Brasil - com um simples número de telefone é possível realizar um SIM swap e trazer muitos danos para as vítimas. É necessário que o setor privado leve o problema a sério, que a ANPD multe os infratores — incluindo o próprio governo — e os usuários adotem boas práticas na criação de senhas e contas”.
Renato Borbolla: 'representam um risco imenso para empresas, clientes e cidadãos'
Renato Borbolla, pesquisador de segurança
“Os vazamentos de dados, conhecidos pelo jargão ‘leaks’, representam um risco imenso para empresas, clientes e cidadãos. Entre os principais perigos destacam-se: perdas financeiras significativas para ambos os lados, danos irreparáveis à reputação das empresas envolvidas, impactos profundos na privacidade dos indivíduos, riscos de processos legais e, em casos mais graves, até a interrupção das operações empresariais.
No que diz respeito aos impactos para os usuários finais, os vazamentos de dados podem se transformar em uma porta de entrada para ataques e golpes de diversas naturezas, como extorsão, spear-phishing, smishing, falsidade ideológica, entre outros.
A prevenção de vazamentos de dados é essencial para proteger informações valiosas, garantir a continuidade dos negócios, preservar e até expandir a reputação das empresas e, acima de tudo, manter a confiança de seus clientes.
Infelizmente, o cenário brasileiro ainda demonstra um grande descaso com a segurança digital, frequentemente reagindo apenas após a ocorrência de incidentes de segurança. Vale ressaltar que um vazamento de dados abre um vasto campo para golpistas e estelionatários, que podem criar e comercializar uma base de dados de cidadãos brasileiros constantemente atualizada, vendendo consultas de informações privadas a qualquer interessado, com consequências devastadoras para todos os envolvidos.
Por isso, defendemos que as empresas adotem uma postura mais firme, impondo em primeiro lugar a segurança dos dados, que, claro, por direito, só podem ser manipulados pela própria empresa detentora dos dados, com o consentimento expresso de seus respectivos donos”.
Juliana Gaioso, engenheira de cybsersegurança
"É senso comum acreditar que, porque os dados já foram vazados anteriormente, um novo vazamento não é tão preocupante. Mas não é por aí. Primeiro, porque um vazamento mais recente pode expor desde mudanças pessoais simples (como endereço ou telefone) até informações mais delicadas, como alterações no nome, no estado civil ou no nome da mãe. Depois, porque novas informações podem surgir (como renda atualizada e transações financeiras). A combinação dessas informações aumenta os riscos de um golpe de engenharia social (e de outros tipos também).
Tomar conhecimento de que suas informações foram vazadas geralmente instiga as pessoas a se precaver, de forma a minimizar este impacto. Seja trocando uma senha, atualizando seus dados de contato ou habilitando formas extras de autenticação.
De qualquer forma, é importante que o anúncio de vazamentos seja feito pensando no usuário e não somente em reduzir impacto de imagem na empresa. As pessoas devem ser educadas em como agir nestas situações (e também cuidados pessoais para evitá-las)".
Sergio Hussein, Agente Policial da Polícia Civil do Estado de São Paulo:
“Vazamentos de dados são graves, pois informações sensíveis podem ser exploradas por cibercriminosos para fraudes, furtos de identidade e ataques direcionados, comprometendo a segurança e a privacidade dos usuários. Isso gera um aumento potencial em crimes, alimentando o comércio ilegal de vendas de dados para estelionatários cibernéticos”.
Como se proteger de vazamentos
Usuários de internet com dados vazados — ainda tão sensíveis como estes — precisam seguir uma cartilha muito importante. Isso porque eles podem ser alvos de golpes diferentes, que vão desde o phishing direcionado até a abertura de contas-laranja.
As dicas abaixo servem para todo o usuário de internet, ou seja, todos nós:
- Desconfie de páginas e mensagens que chegam até você com ofertas, promoções ou informações incríveis (seja proativo, caso tenha dúvida, e busque canais oficiais);
- Mantenha um bom antivírus instalado no seu celular e computador;
- Tenha segundo fator de autenticação em todas as suas contas (se possível, com app terceiro, sem SMS);
Peça ajuda: se você tem dúvida sobre qualquer link ou mensagem, peça ajuda para outra pessoa que entenda mais sobre a internet do que você; - Mantenha seus apps e sistema operacional com a última atualização disponível, principalmente em navegadores como Chrome, Edge, Firefox etc.;
- Acompanhe registros financeiros em seu nome pelo Registrato, do Banco Central;
- Cheque senhas vazadas em Have I Been Pwned.
Acompanhe o TecMundo! Continuaremos reportando.
Categorias
