Que tipo de informações são roubadas nas violações de dados?

Os dados roubados incluem normalmente informações de identificação pessoal, tais como números de segurança social, números de contas bancárias, dados de cartões de crédito, endereços de e-mail, palavras-passe, nomes, datas de nascimento, endereços físicos e, por vezes, números de passaporte.

O que acontece aos meus dados após uma violação de segurança?

Os dados roubados acabam normalmente na Dark Web mercados conhecidos como «dump shops», onde os cibercriminosos compram e vendem informações pessoais para as utilizar em roubos de identidade, ataques de «credential stuffing», esquemas de phishing e esquemas de sextorsão.

Violação de dados

Q: O que é uma violação de dados?

Uma violação de dados é um incidente de cibersegurança em que hackers acesso não autorizado a informações privadas, sensíveis e confidenciais, afetando tanto os indivíduos, através da fuga de dados pessoais, como as empresas, através da exposição dos dados dos clientes e da propriedade intelectual.

Q: Como é que as violações de dados acontecem?

As violações de dados ocorrem através da exploração de vulnerabilidades de software, de ataques de injeção SQL em sites não seguros, de infeções por spyware e malware, de ataques de phishing que roubam credenciais de início de sessão e de controlos de acesso defeituosos ou mal configurados que expõem dados privados.

Uma violação de dados é um evento de cibersegurança em resultado do qual hackers obtêm acesso não autorizado a informações privadas, sensíveis e confidenciais. As violações de dados afectam as pessoas com fugas de dados pessoais (números da Segurança Social, números de contas bancárias, informações de cartões de crédito, etc.), bem como as empresas que enfrentam fugas de dados de clientes e de propriedade intelectual.

Leia mais sobre a violação de dados abaixo, incluindo as últimas notícias. Se foi vítima da recente violação de dados, consulte o nosso scanner de pegada digital e a nossa ferramenta de monitorização para ver que informações foram expostas.

DIGITALIZAÇÃO DA PEGADA DIGITAL

Principais conclusões

Uma violação de dados ocorre quando informações sensíveis ou confidenciais são acedidas ou expostas sem autorização.
As violações ocorrem através de vulnerabilidades, injeção de SQL, spyware, phishing e controlos de acesso mal configurados, permitindo que os atacantes roubem dados.
Os dados roubados incluem frequentemente palavras-passe, informações pessoais e dados financeiros, que os criminosos podem descodificar se for utilizado um algoritmo de hash fraco (como o SHA-1).
Os dados expostos são normalmente vendidos ou trocados na Dark Web, alimentando esquemas fraudulentos, extorsões e ataques de preenchimento de credenciais.
Mesmo os dados «antigos» roubados continuam a ter valor, permitindo esquemas de phishing, sextorsão e apropriação de contas quando os utilizadores reutilizam as mesmas palavras-passe.

Dê a sua opinião sobre o BizChat

O que é uma violação de dados?

Uma violação de dados é um incidente que resulta na exposição não autorizada de informações confidenciais, privadas, protegidas ou sensíveis. Estas violações podem ocorrer de forma acidental ou intencional, envolvendo atacantes externos ou internos de uma organização. As informações roubadas podem ser exploradas para ganhos financeiros ou utilizadas em outros ataques, tornando as violações de dados uma ameaça significativa tanto para indivíduos como para empresas.

"Uma violação de dados resulta de um ciberataque que permite que os cibercriminosos obtenham acesso não autorizado a um sistema ou rede informática e roubem os dados pessoais e financeiros privados, sensíveis ou confidenciais dos clientes ou utilizadores que contêm."

Como é que as violações de dados acontecem?

Um exploit é um tipo de ataque que tira partido de bugs ou vulnerabilidades de software, que os cibercriminosos utilizam para obter acesso não autorizado a um sistema e aos seus dados. Estas vulnerabilidades estão escondidas no código do sistema e é uma corrida entre os criminosos e os investigadores de cibersegurança para ver quem as consegue encontrar primeiro.

Os criminosos, por um lado, querem abusar das explorações, enquanto os investigadores, pelo contrário, querem comunicar as explorações aos fabricantes de software para que os erros possam ser corrigidos. O software normalmente explorado inclui o próprio sistema operativo, os navegadores de Internet, as aplicações Adobe e as aplicações Microsoft Office. Por vezes, os grupos de cibercriminosos agrupam várias explorações em kits de exploração automatizados que facilitam aos criminosos com poucos ou nenhuns conhecimentos técnicos tirar partido das explorações.

Uma injeção de SQL (SQLI) é um tipo de ataque que explora as fraquezas do software de gestão de bases de dados SQL de sítios Web inseguros, de modo a fazer com que o sítio Web expele informações da base de dados que não é suposto. Funciona da seguinte forma. Um cibercriminoso introduz um código malicioso no campo de pesquisa de um site de retalho, por exemplo, onde os clientes normalmente pesquisam coisas como "auscultadores sem fios com melhor classificação" ou "ténis mais vendidos".

Em vez de lhe fornecer uma lista de auscultadores ou de sapatilhas, o sítio Web dará ao hacker informático uma lista de clientes e os respectivos números de cartão de crédito. O SQLI é um dos ataques menos sofisticados a efetuar, exigindo conhecimentos técnicos mínimos. O Malwarebytes Labs classificou o SQLI como o número três na lista das 5 ameaças cibernéticas mais idiotas que funcionam de qualquer forma. Os atacantes podem até usar programas automatizados para realizar o ataque por eles. Tudo o que têm de fazer é introduzir o URL do site alvo e depois sentar-se e relaxar enquanto o software faz o resto.

O spyware é um tipo de malware que infecta o seu computador ou rede e rouba informações sobre si, a sua utilização da Internet e quaisquer outros dados valiosos a que possa deitar a mão. O spyware pode ser instalado como parte de um download aparentemente benigno (também conhecido como bundleware). Em alternativa, o spyware pode entrar no seu computador como uma infeção secundária através de um Trojan como o Emotet.

Conforme relatado no blogue Malwarebytes Labs , o Emotet, o TrickBot e outros Trojans bancários encontraram uma nova vida como ferramentas de entrega de spyware e outros tipos de malware. Quando o sistema é infetado, o spyware envia todos os dados pessoais para os servidores de comando e controlo (C&C) geridos pelos cibercriminosos.

Os ataquesde phishing funcionam levando-nos a partilhar informações sensíveis, como os nossos nomes de utilizador e palavras-passe, muitas vezes contra a lógica e o raciocínio normais, utilizando a engenharia social para manipular as nossas emoções, como a cobiça e o medo. Um ataque de phishing típico começa com uma mensagem de correio eletrónico falsificada, para parecer que vem de uma empresa com a qual tem negócios ou de um colega de trabalho de confiança. Este e-mail contém uma linguagem agressiva ou exigente e requer algum tipo de ação, como verificar pagamentos ou compras que nunca fez.

Ao clicar na ligação fornecida, o utilizador será direcionado para uma página de início de sessão maliciosa, concebida para capturar o seu nome de utilizador e palavra-passe. Se não tiver a autenticação multi-fator (MFA) activada, os cibercriminosos terão tudo o que precisam para entrar na sua conta. Embora os e-mails sejam a forma mais comum de ataque de phishing, as mensagens de texto SMS e os sistemas de mensagens das redes sociais também são populares entre os burlões.

Os controlos de acesso danificados ou mal configurados podem tornar públicas partes privadas de um determinado sítio Web quando não é suposto que o sejam. Por exemplo, o administrador de um sítio Web de um retalhista de vestuário em linha tornará privadas determinadas pastas back-end do sítio Web, ou seja, as pastas que contêm dados sensíveis sobre os clientes e as suas informações de pagamento. No entanto, o administrador do sítio Web pode esquecer-se de tornar privadas também as subpastas relacionadas.

Embora estas subpastas possam não ser facilmente visíveis para o utilizador comum, um cibercriminoso que utilize algumas pesquisas bem elaboradas no Google pode encontrar essas pastas mal configuradas e roubar os dados nelas contidos. Tal como um ladrão que entra numa casa através de uma janela aberta, não é necessária muita perícia para realizar este tipo de ataque informático.

Os meus dados roubados são encriptados?

Após uma violação de dados, as empresas afectadas tentarão atenuar o medo e a indignação dos seus clientes dizendo algo como: "Sim, os criminosos obtiveram as suas palavras-passe, mas as suas palavras-passe estão encriptadas." Isto não é muito reconfortante e aqui está o porquê. Muitas empresas utilizam a forma mais básica possível de encriptação de palavras-passe: hashing SHA1 sem sal.

Hash e sal? Parece-me uma forma deliciosa de começar o dia. No que diz respeito à encriptação de palavras-passe, não é assim tão bom. Uma senha criptografada via SHA1 sempre criptografará ou fará o hash com a mesma sequência de caracteres, o que a torna fácil de adivinhar. Por exemplo, "password" (palavra-passe) terá sempre o hash

"5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8" e "123456" terá sempre o hash "7c4a8d09ca3762af61e59520943dc26494f8941b".

Isto não deveria ser um problema, porque estas são as duas piores palavras-passe possíveis e nunca ninguém as deveria utilizar. Mas as pessoas usam-nas. A lista anual das palavras-passe mais comuns da SplashData mostra que as pessoas não são tão criativas com as suas palavras-passe como deveriam ser. No topo da lista há cinco anos consecutivos: "123456" e "password". Dêem cá mais cinco, pessoal.

Com isto em mente, os cibercriminosos podem comparar uma lista de palavras-passe roubadas e com hash com uma lista de palavras-passe com hash conhecidas. Com as palavras-passe desencriptadas e os nomes de utilizador ou endereços de correio eletrónico correspondentes, os cibercriminosos têm tudo o que precisam para invadir a sua conta.

O que acontece quando os seus dados são expostos numa violação de dados

Os dados roubados acabam normalmente na Dark Web. Como o nome indica, a Dark Web é a parte da Internet que a maioria das pessoas nunca vê. A Dark Web não é indexada pelos motores de busca e é necessário um tipo especial de browser chamado Tor Browser para a ver. Então, para que é que serve esta capa e este punhal?

Na sua maioria, os criminosos utilizam a Dark Web para traficar vários bens ilegais. Estes mercados Dark Web assemelham-se muito a um típico site de compras online, mas a familiaridade da experiência do utilizador desmente a natureza ilícita do que é oferecido. Os cibercriminosos estão a comprar e a vender drogas ilegais, armas, pornografia e os seus dados pessoais. Os mercados especializados em grandes lotes de informações pessoais recolhidas a partir de várias violações de dados são conhecidos, em linguagem criminal, como "dump shops".

O maior conjunto conhecido de dados roubados encontrados online, todos os 87 GB, foi descoberto em janeiro de 2019 pelo investigador de cibersegurança Troy Hunt, criador do Have I Been Pwned (HIBP), um site que permite verificar se o seu e-mail foi comprometido numa violação de dados. Os dados, conhecidos como Coleção 1, incluíam 773 milhões de e-mails e 21 milhões de palavras-passe de uma série de violações de dados conhecidas. Cerca de 140 milhões de e-mails e 10 milhões de palavras-passe, no entanto, eram novos para o HIBP, não tendo sido incluídos em qualquer violação de dados anteriormente divulgada.

O autor de cibersegurança e repórter de investigação Brian Krebs descobriu, ao falar com o cibercriminoso responsável pela Coleção 1, que todos os dados contidos na descarga de dados têm, pelo menos, dois a três anos.

Existe algum valor nos dados obsoletos de uma violação antiga (para além dos 0,000002 cêntimos por palavra-passe que a Collection 1 estava a vender)? Sim, bastante.

Os cibercriminosos podem utilizar o seu antigo login para o levar a pensar que a sua conta foi pirateada. Este golpe pode funcionar como parte de um ataque de phishing ou, como noticiámos em 2018, de um esquema de sextortion. Os burlões de sextortion estão agora a enviar e-mails alegando que piratearam a webcam da vítima e a gravaram a ver pornografia. Para dar alguma legitimidade à ameaça, os burlões incluem nos e-mails credenciais de início de sessão de uma antiga violação de dados. Dica profissional: se os burlões tivessem mesmo um vídeo seu, mostravam-no.

Se reutilizar palavras-passe em vários sítios, está a expor-se ao perigo. Os cibercriminosos também podem utilizar o seu login roubado de um site para entrar na sua conta noutro site, num tipo de ciberataque conhecido como credential stuffing. Os criminosos utilizam uma lista de e-mails, nomes de utilizador e palavras-passe obtidos através de uma violação de dados para enviar pedidos de início de sessão automatizados para outros sites populares, num ciclo interminável de pirataria, roubo e mais pirataria.

Quais são as maiores violações de dados?

É a contagem decrescente dos dez maiores em que ninguém quer estar. Aqui está a nossa lista das 10 maiores violações de dados de todos os tempos. É possível que consiga adivinhar muitas das empresas que constam desta lista, mas também pode haver algumas surpresas.

Under Armour: cerca de 193 milhões de registos expostos (novembro de 2025)

Em 2025, a Under Armour foi alvo de uma violação de segurança em grande escala causada por ransomware, quando o grupo Everest afirmou ter obtido acesso a 343 GB de dados internos e de clientes. Cerca de 193 milhões de registos de clientes — incluindo e-mails, nomes completos, números de telefone e dados de localização — foram posteriormente divulgados online depois de as exigências de resgate não terem sido satisfeitas.

Outras violações dignas de nota:

LinkedIn: 117 milhões

Os cibercriminosos fugiram com endereços de e-mail e senhas encriptadas de 117 milhões LinkedIn nesta violação de dados de 2012. As senhas estavam encriptadas, certo? Não é nada de mais. Infelizmente, LinkedIn aquela maldita encriptação SHA1 de que falámos anteriormente. E se tiveres alguma dúvida de que as tuas senhas roubadas estão a ser desencriptadas, Malwarebytes Labs relatou que LinkedIn hackeadas estavam a ser usadas numa campanha de phishing via InMail.

Estas mensagens InMail continham URLs maliciosos que ligavam a um site falsificado para se parecer com uma página de início de sessão do Google Docs, através do qual os cibercriminosos recolhiam os nomes de utilizador e as palavras-passe do Google. Ainda assim, é melhor do que aquele emprego temporário de escavador de valas que os recrutadores continuam a enviar-lhe.

eBay: 145 milhões

No início de 2014, os cibercriminosos clicaram em «Roubar Agora» quando invadiram a rede do popular site de leilões online e roubaram as palavras-passe, endereços de e-mail, datas de nascimento e endereços físicos de 145 milhões de utilizadores. Um ponto positivo foi o facto de as informações financeiras do site associado PayPal armazenadas separadamente das informações dos utilizadores, numa prática conhecida como segmentação de rede (mais sobre isso adiante). Isto teve o efeito de limitar o ataque e impediu que os criminosos tivessem acesso às informações de pagamento realmente sensíveis.

Equifax: 145,5 milhões

A empresa de relatórios de crédito Equifax sofreu um duro golpe na sua própria «notação de crédito», pelo menos aos olhos dos consumidores americanos, quando anunciou que tinha sofrido uma violação de dados em 2017. Tudo isto poderia ter sido evitado se a Equifax tivesse simplesmente mantido o seu software atualizado. Em vez disso, hackers tirar partido de uma falha de software bem conhecida e invadir o software subjacente que suporta o site da Equifax.

O que torna a violação de dados da Equifax tão terrível não é a dimensão, embora seja considerável; é antes o valor da informação roubada. Os criminosos fugiram com os nomes, datas de nascimento, números da Segurança Social, moradas e números de carta de condução de 145,5 milhões de americanos. Se a isso juntarmos cerca de 200.000 números de cartões de crédito, teremos uma das piores violações de dados em termos de sensibilidade dos dados comprometidos.

Yahoo: 3B

O Yahoo tem a vergonhosa distinção de ser a única empresa a figurar duas vezes na nossa lista das maiores violações de dados. Para piorar a situação, o Yahoo ocupa também o primeiro lugar. Em agosto de 2013, os cibercriminosos roubaram os dados de todos os utilizadores do Yahoo em todo o mundo — um total de três mil milhões de utilizadores. A magnitude desta violação de dados é difícil de imaginar.

Mais de um terço da população mundial foi afetada. Quando o ataque foi revelado pela primeira vez em 2016, a Yahoo afirmou que apenas mil milhões dos seus utilizadores foram afectados pela violação de dados, alterando posteriormente o número para "todas as contas de utilizadores da Yahoo" menos de um ano depois. O momento não poderia ter sido pior. Na altura em que a Yahoo revelou os números actualizados da violação de dados, a empresa estava em negociações para ser adquirida pela Verizon. A notícia da violação de dados permitiu que a Verizon comprasse o Yahoo a um preço de liquidação. A Yahoo foi adquirida pela Verizon em 2017.

Leia aqui a nossa notícia sobre a «Mãe de Todas as Violações ».

Legislação sobre violação de dados

Parece que estamos a ler sobre outra violação de dados em cada ciclo de notícias. As violações de dados estão a aumentar em frequência ou há algo mais a acontecer? Uma possível razão para o aumento das violações de dados (pelo menos a aparência de um aumento) é a crescente regulamentação sobre a forma como comunicamos as violações de dados.

Desde o início do milénio, os governos de todo o mundo criaram leis que exigem que as empresas e organizações façam algum tipo de divulgação após sofrerem uma violação de dados. No passado, as partes comprometidas podiam ficar com o conhecimento de uma violação de dados durante o tempo que quisessem.

Nos Estados Unidos, não existe uma lei nacional que supervisione a divulgação de violações de dados. No entanto, a partir de 2018, todos os 50 estados dos EUA têm leis de violação de dados em vigor. Essas leis variam de um estado para outro, mas existem alguns pontos em comum. Nomeadamente, qualquer organização no centro de uma violação de dados tem de tomar as seguintes medidas:

Informe o mais rapidamente possível as pessoas afectadas pela violação de dados sobre o que aconteceu.
Informe o governo o mais rapidamente possível, o que normalmente significa notificar o Procurador-Geral do Estado.
Pagar algum tipo de coima.

A título de exemplo, a Califórnia foi o primeiro estado a regulamentar a divulgação de violações de dados em 2003. As pessoas ou empresas no centro de uma violação de dados devem notificar os afectados "sem demora razoável" e "imediatamente após a descoberta". As vítimas podem processar até $750, enquanto o procurador-geral do estado pode impor coimas até $7.500 por cada vítima.

Foram adoptadas leis semelhantes na União Europeia e em toda a região da Ásia-Pacífico. Facebook é a primeira grande empresa de tecnologia a alegadamente entrar em conflito com o Regulamento Geral sobre a Proteção de Dados (RGPD) da UE, depois de ter anunciado que um erro de software deu aos programadores de aplicações acesso não autorizado às fotografias de 6,8 milhões de utilizadores. Facebook não comunicou a violação durante dois meses - cerca de 57 dias demasiado tarde, no que diz respeito ao GDPR. Como resultado, a empresa poderá ter de pagar até 1,6 mil milhões de dólares em multas.

O que fazer se os seus dados forem expostos numa violação de dados

Mesmo que nunca tenha utilizado nenhum dos sites e serviços indicados na nossa lista das maiores violações de dados, existem centenas de violações de dados mais pequenas que não mencionámos. Antes de entrarmos nos nossos passos para responder a uma violação de dados, pode querer visitar Have I Been Pwned e ver por si próprio. Tudo o que tem de fazer é introduzir o seu endereço de correio eletrónico na caixa de pesquisa "pwned?" e ver, horrorizado, como o site lhe diz todas as violações de dados em que foi pwned.

Também é importante notar que os seus dados podem fazer parte de uma violação de que o público em geral ainda não tem conhecimento. Muitas vezes, uma violação de dados só é descoberta anos mais tarde.

De uma forma ou de outra, há uma boa hipótese de os seus dados terem sido comprometidos e há uma boa hipótese de os seus dados voltarem a ser comprometidos.

Agora que sabe que os seus dados estão algures na Dark Web, criámos esta lista passo-a-passo do que fazer quando os seus dados são roubados.

Faça um Digital Footprint Scan gratuito utilizando apenas o seu endereço de correio eletrónico.
Reponha a sua palavra-passe para a conta comprometida e para quaisquer outras contas que partilhem a mesma palavra-passe. Na verdade, não deve reutilizar palavras-passe em vários sites. Utilize o nosso gerador de palavras-passe gratuito para criar palavras-passe fortes e únicas. Os gestores de palavras-passe têm a vantagem adicional de o alertar quando chega a um site falsificado. Embora a página de início de sessão do Google ou do Facebook possa parecer real, o seu gestor de palavras-passe não reconhecerá o URL e não preencherá o seu nome de utilizador e palavra-passe por si.
Monitorize as suas contas de crédito. Procure qualquer atividade suspeita. Lembre-se que pode obter um relatório de crédito gratuito, um de cada uma das três principais agências de crédito, todos os anos em annualcreditreport.com. Este é o único sítio autorizado pela Comissão Federal do Comércio dos EUA para obter relatórios de crédito gratuitos.
Considere um congelamento de crédito. Um congelamento de crédito dificulta a abertura de uma linha de crédito em seu nome, restringindo o acesso ao seu relatório de crédito. Pode levantar ou parar o congelamento em qualquer altura. O único problema é que tem de contactar cada agência de crédito individualmente para decretar ou remover um congelamento.
Observe cuidadosamente a sua caixa de correio eletrónico. Os cibercriminosos oportunistas sabem que milhões de vítimas de uma determinada violação de dados estão à espera de algum tipo de comunicação relativa às contas pirateadas. Estes burlões aproveitam a oportunidade para enviar mensagens de correio eletrónico de phishing falsificadas para parecer que provêm dessas contas pirateadas, numa tentativa de o levar a fornecer informações pessoais. Leia as nossas dicas sobre como detetar um e-mail de phishing.
Considere os serviços de controlo de crédito. Deve inscrever-se? Muitas vezes, após uma violação de dados, as empresas e organizações afectadas oferecem às vítimas serviços gratuitos de monitorização de roubo de identidade. É importante notar que serviços como o LifeLock e outros o notificarão se alguém abrir uma linha de crédito em seu nome, mas não podem proteger os seus dados de serem roubados. Resumindo: se o serviço for gratuito, vá em frente e inscreva-se. Caso contrário, pense duas vezes.
Utilizar a autenticação multifactor (MFA). A autenticação de dois factores é a forma mais simples de MFA, o que significa que precisa da sua palavra-passe e de outra forma de autenticação para provar que é quem diz ser e não um cibercriminoso que está a tentar invadir a sua conta. Por exemplo, um sítio Web pode pedir-lhe que introduza as suas credenciais de início de sessão e que introduza um código de autenticação separado enviado por mensagem de texto para o seu telemóvel.

Como posso evitar violações de dados?

As coimas, os custos de limpeza, os honorários legais, as acções judiciais e até os pagamentos de ransomware associados a uma violação de dados representam muito dinheiro. O estudo Ponemon Cost of Data Breach de 2018 concluiu que o custo médio de uma violação de dados é de cerca de 3,9 milhões de dólares, um aumento de 6,4 por cento em relação ao ano anterior. Enquanto o custo de cada registo roubado foi de 148 dólares, um aumento de 4,8% em relação ao ano anterior. De acordo com o mesmo estudo, as hipóteses de sofrer uma violação de dados são de uma em quatro.

Não faz sentido ser proactivo em relação à segurança dos dados e evitar uma violação em primeiro lugar? Se respondeu sim, e esperamos que tenha respondido, eis algumas práticas recomendadas para ajudar a manter a sua empresa e os seus dados seguros.

Praticar a segmentação de dados. Numa rede de dados plana, os cibercriminosos podem circular livremente pela rede e roubar cada byte de dados valiosos. Ao colocar em prática a segmentação de dados, está a atrasar os criminosos, ganhando tempo extra durante um ataque e limitando os dados comprometidos. A segmentação de dados também ajuda na nossa próxima dica.

Aplicar o princípio do menor privilégio (PolP). O PolP significa que cada conta de utilizador só tem acesso suficiente para fazer o seu trabalho e nada mais. Se uma conta de utilizador for comprometida, os cibercriminosos não terão acesso a toda a sua rede.

Invista num software de proteção contra roubo de identidade. Monitorizaremos a exposição da sua identidade e alertaremos para quaisquer riscos.

Instale uma proteção de segurança cibernética respeitável, como Malwarebytes Premium. Se tiver a infelicidade de clicar numa hiperligação maliciosa ou de abrir um anexo de má qualidade, um bom programa de cibersegurança será capaz de detetar a ameaça, parar a transferência e impedir que o malware entre na sua rede.

SSN na Dark Web

Phishing

Engenharia social