O que é vazamento de dados e como se proteger?

Um vazamento de dados é, em termos simples, a divulgação não autorizada de informações confidenciais de pessoas ou organizações. Ocorrendo geralmente com intuitos maliciosos, esses incidentes podem se dar por diversos meios diferentes, incluindo ataques de hackers a bancos de dados, violações em sistemas de segurança, ou mesmo compartilhamentos acidentais por funcionários desastrados.

Não importando sua causa inicial, os vazamentos de dados podem acontecer em qualquer setor ou órgão, afetando igualmente governos, sistemas de saúde e finanças, escolas e provedores de serviços, e causando enormes danos a todos os envolvidos.

Entre as informações mais usualmente vazadas, destacam-se credenciais de acesso (como senha e nome de usuário), documentos de identidade (carteira de habilitação, RG, CPF), dados de contato (número de telefone, endereço, e-mail) e registros bancários (números de cartão de crédito, conta e agência bancária).

Existem diversas formas e diferentes métodos que podem ser usados pelos criminosos para efetuar um vazamento de dados. Em geral, os agentes mal-intencionados investem em estratégias capazes de explorar vulnerabilidades conhecidas dos sistemas-alvo para, assim, ganharem acesso às informações confidenciais. Exemplos conhecidos disso incluem técnicas de phishing, emprego de engenharia social, uso de malware e, por vezes, até mesmo roubo físico de hardware.

Sendo uma das táticas mais populares para ganhar acesso aos dados dos usuários, o phishing se baseia no uso de mensagens, e-mails ou páginas da web falsos para enganar as vítimas e fazer com que elas forneçam suas informações. Modelos clássicos de phishing incluem ofertas suspeitas de emprego, promessas de ganhos milionários (como prêmios de loteria e heranças fabulosas) e solicitações falsas de pagamentos do dia a dia (como contas de telefone, serviço de streaming ou energia) por meio de redes sociais, SMS ou e-mail. Os chatbots também podem ser usados de forma maliciosa para auxiliar na disseminação de ataques de phishing, disseminando links e anexos infectados.

Os ataques de vishing são muito parecidos com os de phishing. Mas, ao invés de e-mails, mensagens de SMS, links e anexos infectados, eles são conduzidos através de ligações que os golpistas fazem para as vítimas, fingindo representar uma empresa, um órgão de governo, autoridades policiais ou até pessoas conhecidas da vítima. Assim, os golpistas convencem as vítimas a repassar informações pessoais, enviar dinheiro e instalar malware nos dispositivos, além de várias outras coisas.

O conceito de engenharia social envolve um conjunto de artimanhas utilizadas para manipular as vítimas e levá-las a inocentemente compartilhar suas informações com os criminosos. Um método comum, por exemplo, é o contato direto com os usuários, geralmente por meio telefônico, no qual uma situação de emergência (tal qual roubos de cartão de crédito, invasões do e-mail ou contas em redes sociais, entre outros) é apresentada e seguida de uma imediata solicitação de dados para que a questão possa ser “resolvida”. As vítimas, alarmadas pela urgência simulada, acabam cedendo ao pedido e têm suas informações roubadas. Os ataques de engenharia social também exploram vulnerabilidades de Zero Day (ou Dia Zero).

O uso de software malicioso (ou simplesmente malware) é uma tática comumente empregada por criminosos virtuais para infectar dispositivos ou sistemas de segurança e permitir o acesso não autorizado a dados confidenciais. Esses programas perniciosos são espalhados pela rede por meio de links de download suspeitos, e-mails de phishing e outras páginas da web fajutas. Há vários tipos e categorias de malware, desde formais mais simples até tipos mais agressivos e nocivos, como o spyware Pegasus, por exemplo.

O roubo físico, embora pareça um tanto arcaico, é também uma estratégia recorrente dos criminosos. A prática, em geral, envolve o roubo de hardware, como laptops, tablets, telefones celulares, pendrives e HD externos, que costumam conter informações pessoais e confidenciais dos usuários. Os furtos ocorrem principalmente de maneira sorrateira, quando os aparelhos são deixados sem supervisão em espaços públicos, como bibliotecas, cafeterias ou hotéis.

Além dos casos já mencionados, os vazamentos também podem ser causados por diversas outras vias. Um exemplo clássico é do funcionário que, uma vez demitido ou afrontado por um superior, busca se vingar da companhia ao comprometer os dados confidenciais dela. Há também a possibilidade de vazamentos acidentais, ocasionados tanto por falhas nos sistemas de segurança quanto pela falta de conhecimento dos seus operadores.

Seja como for, uma vez que os dados são vazados, os criminosos cibernéticos tentam vendê-los em espaços virtuais como a Dark Web ou usá-los para outros fins danosos, como fraudes bancárias, roubo de identidade, extorsão e chantagem (Para saber mais, confira nosso estudo de caso da Dark Web).

Se as informações são vendidas, elas podem ser usadas para fins fraudulentos, como os mencionados acima, ou ainda podem ser empregadas com objetivos menos óbvios. Exemplo disso é o seu uso em campanhas eleitorais e publicitárias, onde são aplicadas com o intuito de prever e formar opiniões públicas e, assim, fornecer vantagem competitiva (política ou comercial) contra concorrentes, manipular clientes ou mesmo prejudicar a reputação de opositores.

Assim, as consequências de um vazamento de dados podem ser bastante graves, acarretando não apenas perdas financeiras e danos emocionais aos envolvidos, como também podendo prejudicar até mesmo o funcionamento do jogo político, impactando negativamente na democracia do país.

Os termos “violação de dados” e “vazamento de dados” costumam gerar confusão e, frequentemente, acabam sendo usados de modo intercambiável. Embora os dois sejam formas de cibercrime, eles se referem a tipos bem diferentes de ocorrências.

Quando se fala de “violação de dados”, descreve-se um incidente de segurança no qual um invasor ganha acesso não autorizado a uma rede, sistema ou banco de dados e, por causa disso, consegue roubar as informações confidenciais armazenadas ali.

Já o “vazamento de dados” trata da divulgação não autorizada desse tipo de informação confidencial. Ele pode ocorrer como consequência de uma violação de dados ou por outra causa, inclusive acidental.

Desse modo, pode-se dizer que a violação de dados é normalmente fruto dos esforços de um agente externo, enquanto o vazamento de dados pode ser resultado da ação de atores internos ou externos, a depender do contexto.

Infelizmente, nos últimos anos, não foram poucos os casos de vazamento de dados no Brasil. Entre escândalos envolvendo empresas privadas e agências do governo, o país foi palco de vários eventos de divulgação não autorizada e criminosa das informações pessoais dos cidadãos brasileiros. Abaixo estão os episódios mais notórios.

De acordo com nota dos Correios, no final de fevereiro de 2023, houve um vazamento de dados do aplicativo do serviço Meu Correio, que levou ao comprometimento das informações contidas em seu sistema, o que incluía o número de celular e CPF dos usuários.

O comunicado, no entanto, não detalhou quantas pessoas foram afetadas pelo incidente nem quais foram as suas possíveis causas. Em seu pronunciamento oficial, a empresa se limitou a orientar os clientes a trocar a senha da plataforma e afirmou já ter relatado o caso à Autoridade Nacional de Proteção de Dados (ANPD) para que as devidas medidas fossem tomadas.

No final de janeiro de 2022, o Banco Central afirmou que mais de 160 mil chaves de PIX, que continham dados pessoais de usuários, haviam sido potencialmente expostas por um vazamento no banco de dados da empresa Acesso Soluções de Pagamento.

Entre as informações pessoais comprometidas estavam o número de CPF, nome completo, número da agência bancária e conta dos usuários. O Banco Central, todavia, alegou que nenhum dado sensível (como senhas e extratos bancários) havia sido indevidamente divulgado.

Em janeiro de 2021, a empresa de segurança cibernética PSafe identificou um dos maiores vazamentos de dados da história do Brasil, o qual comprometia as informações pessoais de mais de 223 milhões de cidadãos brasileiros – incluindo até mesmo dados de pessoas falecidas.

Na ocasião, a ANPD solicitou à Polícia Federal que investigasse o caso, que deu início à chamada Operação Deepwater. Até hoje, porém, não se sabe exatamente a fonte desse vazamento, que incluía o nome completo, endereço, CPF e renda mensal das vítimas.

Em dezembro de 2020, uma falha no sistema de segurança do Ministério da Saúde deixou expostos os dados de 243 milhões de cidadãos cadastrados no Sistema Único de Saúde (SUS). O vazamento foi identificado e denunciado pelo jornal O Estado de S. Paulo.

Entre as informações indevidamente divulgadas constavam nome completo, endereço, CPF e telefone dos usuários do SUS. Segundo a notícia, os dados eram protegidos por login e senha na página do Ministério, mas uma falha no código do sistema permitia o acesso irrestrito a qualquer um que tentasse entrar na plataforma.

Em novembro de 2020, as informações pessoais de aproximadamente 290 mil clientes da companhia de energia elétrica Enel, em São Paulo, foram comprometidas por causa de uma falha de segurança. A origem do vazamento, contudo, não foi descoberta.

Foram expostos, na ocasião, os dados cadastrais dos usuários, incluindo nome completo, CPF e endereço, bem como seus históricos de pagamentos, índices de leitura e níveis de consumo de energia.

No começo de 2018, a empresa de varejo de calçados Netshoes se tornou notícia ao sofrer um vazamento massivo nos dados de seus clientes, incluindo o CPF, nome completo, e-mail e histórico de compras de cerca de 2 milhões de pessoas.

Conforme apontaram as investigações internas, o caso teria ocorrido devido a uma falha de segurança nos sistemas da loja, que teria deixado expostos os dados. A companhia negou, todavia, que houvesse indícios de tentativa de invasão de sua plataforma. Em acordo com o Ministério Público, as cifras de indenização pelo episódio foram da marca de R$ 500 mil.

Esses eventos mostram que os vazamentos podem ocorrer tanto em companhias privadas quanto em órgãos públicos e, mais que isso, demonstram como é imprescindível que todos revisem regularmente seus sistemas de segurança e atualizem suas medidas de proteção.

Ao público, por outro lado, a lição é a necessidade de se manter informado, buscando periodicamente notícias sobre esses incidentes, e de prestar atenção aos avisos de plataformas da web que sinalizam potenciais riscos, como aqueles que dizem “esta senha apareceu em um vazamento de dados” ou “este e-mail foi objeto de um vazamento”.

Caso suspeite que seus dados foram vazados, os passos abaixo podem ajudar você a se proteger ou, pelo menos, minimizar os possíveis danos do acontecimento.

1. Altere suas senhas imediatamente. Se você usa a mesma senha para várias contas, mude o código de acesso de todas – preferencialmente adotando um único para cada uma delas. Dê preferência a combinações complexas e difíceis de serem adivinhadas. Se possível, invista num gerenciador de senhas para facilitar sua vida.
2. Ative a verificação de duas etapas. Se suas contas permitem esse recurso, habilite-o logo após alterar suas senhas para ter uma camada extra de proteção. A verificação de duas etapas pode ser a diferença entre perder uma conta ou não.
3. Fique de olho em suas contas bancárias. Assegure-se de que não haja nenhuma atividade fora do comum nelas, como transações não autorizadas ou mudanças em seus dados cadastrais. Caso encontre algo suspeito, entre em contato com seu banco.
4. Denuncie. Verifique todas as suas outras contas, como e-mails, redes sociais e perfis em serviços de streaming. Caso perceba alguma irregularidade, denuncie o fato aos provedores do serviço imediatamente. Sua denúncia vai ajudá-los a proteger suas contas e a tomar ciência de possíveis fraudes futuras com outros usuários.
5. Busque as autoridades. Além de denunciar aos provedores de serviço, se suspeitar de roubo de identidade, faça um Boletim de Ocorrência na delegacia policial mais próxima. Isso permitirá que as autoridades averiguem a situação e possibilitará que você se mantenha resguardado caso alguma fraude seja cometida em seu nome.
6. Contate a fonte do vazamento. Converse com a organização ou provedor de serviços afetado para confirmar o acontecimento e perguntar quais ações eles estão tomando para proteger seus dados e impedir futuros episódios similares. Esse é também um ótimo método para quem não tem certeza de como saber de vazamento de dados.
7. Tome medidas preventivas. Coloque um alerta de fraude e monitore seus relatórios de crédito, extratos e contas financeiras regularmente para poder detectar rapidamente qualquer atividade suspeita e, assim, evitar as dores de cabeça geradas por um roubo de identidade.

Em geral, as empresas e órgãos públicos são os maiores alvos dos criminosos e, portanto, aqueles que precisam se dedicar mais na prevenção desses incidentes. No entanto, como principais afetadas, as pessoas também precisam saber como se proteger de vazamento de dados. Abaixo você confere quais medidas são essenciais para se tomar e minimizar os riscos e danos dessas ameaças.

Os patches de atualização de segurança buscam resolver regularmente as vulnerabilidades de programas e sistemas operacionais que podem ser exploradas durante violações de dados. Ao ignorar tais updates, o usuário permite a manutenção de brechas conhecidas nos sistemas de defesas de seus aparelhos, o que eleva consideravelmente os riscos de um ataque hacker bem-sucedido.

Nunca é demais enfatizar a importância de se manter um código de acesso complexo e diferente para cada um dos seus perfis na rede. O motivo é bem simples: caso ocorra um vazamento, os danos são muito maiores se todas as contas possuem a mesma senha. Afinal, quando não há uma combinação exclusiva, os invasores conseguem ganhar acesso a todos os perfis online usando uma única credencial, sem nenhuma dificuldade.

Por mais tentador que seja abrir algumas páginas ou baixar alguns arquivos suspeitos na rede, é melhor pensar duas vezes. O phishing é uma das maiores estratégias de roubo de dados da atualidade e ele conta justamente com a inocência dos usuários em agir por impulso ou curiosidade para executar seus propósitos maliciosos. Então, desconfie sempre de mensagens de fontes desconhecidas e evite sobretudo clicar em seus links ou abrir seus downloads.

Se você possui contas que já não usa, sejam elas perfis de redes sociais ou endereços de e-mail, é recomendável excluí-las. Além do fato de que quanto mais contas ativas na rede você tiver, maiores são as suas chances de ser vítima de um vazamento de dados, deve-se ter em mente também que essas contas, embora antigas, podem conter informações valiosas sobre você e, de bônus, como não estão sendo usadas, podem ser invadidas sem que você nem mesmo se dê conta – o que é particularmente perigoso.

Aparelhos como notebooks, tablets e smartphones carregam muitas informações pessoais e confidenciais, então, é melhor não os deixar sem supervisão em espaços públicos. Como já mencionado, uma das estratégias dos criminosos cibernéticos é justamente roubar esses dispositivos para conseguir extrair deles informações pessoais. Do mesmo modo, evitar o armazenamento de dados como senhas e documentos de identidade pode prevenir problemas maiores caso seu dispositivo seja invadido ou roubado.

Caso necessite fazer transferências ou armazenamento de dados confidenciais, opte por serviços e métodos seguros que contem com criptografia de ponta a ponta para proteger essas informações. Isso vai inviabilizar qualquer tentativa dos criminosos de colocar as mãos em seus dados e explorá-los com seus intuitos perniciosos.

Muitos vazamentos de dados ocorrem por falta de conhecimento e experiência das equipes que lidam com essas informações. Promover treinamentos periódicos e desenvolver políticas atualizadas de boas práticas de segurança cibernética pode ajudar a minimizar esses riscos e aumentar a eficiência dos funcionários de sua empresa.

Manter programas de antimalware, firewall e VPN ativos nos dispositivos da sua empresa é essencial porque eles podem auxiliar na garantia de um repertório abrangente de segurança não apenas para evitar possíveis ameaças cibernéticas, mas também para resolver quaisquer problemas que venham a acontecer.

As políticas e ferramentas de prevenção de perda de dados (também conhecidas pela sigla DLP) são muito úteis por serem capazes de monitorar e controlar a atividade de acesso a informações sensíveis, impedindo assim que elas sejam vazadas, alteradas ou perdidas dos sistemas da empresa – sobretudo por agentes não autorizados. Assim, seu emprego oferece um grande diferencial para as companhias que lidam com dados confidenciais de seus clientes, servindo como garantia de qualidade e segurança de suas operações.

Os danos causados por um episódio de vazamento de dados podem ser significativos e implicar não apenas a esfera financeira das vítimas, mas também emocional. Com o aumento desses incidentes no Brasil, faz-se imperativo que as companhias e agências do governo invistam mais na segurança e proteção dessas informações confidenciais. Já aos usuários, como mencionado acima, cabe ganhar consciência da importância da prevenção e das estratégias de redução de prejuízos e riscos. Por isso, permaneça vigilante, adote as melhores práticas de segurança cibernética e não hesite antes de tomar medidas imediatas no caso de vazamentos.