O Brasil no cenário global de vazamentos
O Brasil figura repetidamente entre os países com maior volume de dados expostos no mundo. Uma combinação de digitalização acelerada, infraestrutura de segurança deficiente em muitas organizações e baixa maturidade em proteção de dados criou um ambiente propício para incidentes de grande escala.
A seguir, analisamos os incidentes mais significativos que afetaram dados de brasileiros.
COMB 2021 — Compilation of Many Breaches
Em fevereiro de 2021, um arquivo com mais de 3,2 bilhões de pares de e-mail e senha foi publicado em fóruns de hackers. Chamado de COMB (Compilation of Many Breaches), o arquivo era uma compilação de dados de dezenas de vazamentos anteriores, mas sua escala sem precedentes o tornou um marco na história da segurança digital.
Muitos dos registros pertenciam a brasileiros, incluindo credenciais de serviços populares no país. Até hoje, o COMB é uma das principais fontes de dados em buscas de credenciais comprometidas.
O que torna o COMB perigoso: mesmo sendo uma compilação de breaches antigos, muitas pessoas ainda usam as mesmas senhas de anos atrás, tornando os dados ainda válidos para ataques de credential stuffing.
Vazamento do Detran e CPFs (2021)
Em janeiro de 2021, um banco de dados contendo informações de 220 milhões de brasileiros — praticamente toda a população do país, incluindo falecidos — foi descoberto à venda em fóruns clandestinos. Os dados incluíam CPF, nome completo, data de nascimento, score de crédito, renda estimada e histórico de veículos.
A origem dos dados nunca foi oficialmente confirmada, mas análises indicaram compatibilidade com registros do Detran e de outras bases governamentais. O incidente expôs a fragilidade da proteção de dados cadastrais no Brasil.
Banco de Dados do SUS (2020)
Em dezembro de 2020, credenciais de acesso ao sistema do Ministério da Saúde foram expostas em um repositório público no GitHub. Com essas credenciais, pesquisadores de segurança demonstraram que era possível acessar dados de 243 milhões de pacientes do SUS, incluindo nome, endereço, CPF e informações de saúde.
Ataque ao Serasa Experian (2021)
Em março de 2021, pesquisadores identificaram um banco de dados à venda contendo informações detalhadas de 220 milhões de pessoas, com dados que sugeriam origem em registros de bureaus de crédito. As informações incluíam score de crédito, renda, endereço, e-mail e telefone.
Vazamento de dados de Pix (2021 e 2022)
O Banco Central do Brasil reportou ao menos dois incidentes envolvendo dados do sistema Pix. Em agosto de 2021, 414 mil chaves Pix foram expostas por falha na Acesso Soluções de Pagamento. Em 2022, novos incidentes afetaram a Logbank e outras instituições, expondo dados cadastrais de usuários.
O que aprender com esses incidentes?
Os vazamentos brasileiros de maior impacto têm alguns pontos em comum:
- Dados cadastrais básicos (CPF, nome, data de nascimento) são frequentemente expostos em escala massiva.
- Muito do que vazou veio de bases governamentais ou de empresas com acesso a grandes volumes de dados pessoais.
- A maioria dos incidentes foi descoberta por pesquisadores externos, não pelas próprias organizações.
- O tempo entre a exposição e a descoberta costuma ser longo — meses ou até anos.
Para usuários, a principal lição é que seus dados básicos provavelmente já estão disponíveis em algum lugar. A proteção passa por usar senhas únicas, autenticação em dois fatores e monitorar ativamente o uso indevido das suas informações.
Verifique se seus dados foram expostos
O LeakIntel monitora continuamente as principais fontes de vazamento
e alerta voce assim que suas credenciais aparecerem em algum breach.