"Levamos a sua segurança muito a sério"
Você recebeu o e-mail. Uma empresa que você usa sofreu um "incidente de segurança". Eles "levam sua privacidade muito a sério". Estão "trabalhando com especialistas líderes em segurança cibernética". Recomendam que você "mude sua senha por precaução".
O que isso realmente significa? O que aconteceu com seus dados? E o que esses hackers estão fazendo com eles agora?
Como uma violação realmente acontece
Os cenários mais comuns, em ordem de frequência:
Injeção SQL — Um atacante encontra um formulário no site (busca, login, contato) onde pode injetar comandos de banco de dados. Em vez de um nome de usuário, digita ' OR 1=1 --. O banco de dados retorna tudo. Essa vulnerabilidade existe há décadas e continua sendo a mais comum.
Credential stuffing — Os atacantes pegam senhas de outras violações e as testam no site alvo. Se você reutilizou uma senha de um site que foi hackeado em 2019, o atacante já tem suas credenciais prontas para testar.
Phishing em um funcionário — Alguém na empresa clica em um e-mail falso convincente, entrega suas credenciais e o atacante agora tem acesso interno. Muitas grandes violações começaram com o clique de phishing de um único funcionário.
Software sem atualização — Um servidor rodando uma versão antiga de um framework ou biblioteca com uma vulnerabilidade conhecida. O atacante a explora, obtém acesso, extrai dados.
Ameaça interna — Menos frequente, mas real. Um funcionário insatisfeito, um prestador com acesso demais.
O que eles levam
Nem todas as violações são iguais. O que um atacante extrai depende do que a empresa armazenava:
Nível 1 — O pior (frequentemente vendido por R$ 25-250 por registro)
- Nome completo + e-mail + telefone + data de nascimento + endereço postal
- Números de cartão de crédito parciais ou completos
- CPF / número de identidade
- Senhas em texto simples (sim, ainda acontece)
Nível 2 — Ruim
- E-mail + senha com hash (como costuma ser)
- Nome de usuário + metadados da conta
- Histórico de compras
Nível 3 — Incômodo, mas contido
- Apenas endereço de e-mail
- Endereços IP
A notificação de violação da empresa geralmente descreve o que foi exposto. Leia com atenção.
O que acontece com os dados depois
Hora 0 — A exfiltração
O atacante copia os dados. Ele pode ter estado no sistema por dias ou meses antes que alguém percebesse — o "tempo de permanência" médio antes da descoberta é de 197 dias.
Dias 1–7 — Uso próprio ou venda
O atacante:
- Usa os dados ele mesmo (se for a empresa-alvo ou quiser contas específicas)
- Vende imediatamente em mercados da dark web pelo máximo valor de "frescor"
Semanas 1–4 — A violação se torna pública
A empresa descobre (via ferramentas de segurança, aviso de pesquisador ou exigência de resgate) ou aparece em fórum de hackers. A empresa notifica os usuários — geralmente semanas após o fato.
Meses 1–12 — Campanhas de credential stuffing
Os atacantes testam sua combinação e-mail+senha nos principais serviços: Gmail, Netflix, PayPal, bancos. Ferramentas automatizadas testam milhares de combinações por minuto. Se você reutilizou aquela senha em algum lugar, ela será encontrada.
Ano 1+ — A longa cauda
Os dados de uma violação não expiram. Uma violação de 2018 pode ser usada para campanhas de phishing em 2026. Dados de várias violações são combinados ("enriquecimento de dados") para construir perfis mais completos para ataques direcionados.
Como as senhas são (deveriam ser) armazenadas
Quando uma empresa armazena sua senha, nunca deveria guardar a senha real. Em vez disso, armazena um hash — uma transformação matemática irreversível.
- Você define a senha:
senha123 - O site armazena:
6f3b56e15f5f9a5b...(hash SHA-256) - Ao fazer login: o site faz o hash da sua entrada e compara os hashes
O problema: nem todos os hashes são iguais.
MD5 — Rápido de calcular, rápido de quebrar. Uma única GPU pode testar 10 bilhões de hashes MD5 por segundo. Um banco de dados MD5 hackeado com 10 milhões de senhas pode ser quebrado em minutos.
SHA-256 (sem salt) — Melhor, mas ainda rápido. Rainbow tables (bancos de dados de hashes pré-calculados) podem quebrar senhas comuns instantaneamente.
bcrypt / Argon2 — Projetados para serem lentos. Uma GPU que quebra 10 bilhões de MD5 por segundo só consegue ~100 hashes bcrypt por segundo. Uma violação de senhas com hash bcrypt leva meses, não minutos.
Texto simples — Sim, algumas empresas ainda armazenam senhas em texto simples. Se uma notificação de violação diz "as senhas foram expostas" e não "as senhas com hash foram expostas", isso é um sinal de alerta.
O que fazer quando você receber o e-mail
Imediatamente (primeiras 24 horas):
- Mude sua senha nesse site — mesmo que a violação tenha afetado apenas senhas com hash
- Se você usou a mesma senha em outro lugar, mude-a lá também — em todos os lugares, no mesmo dia
- Verifique se o site armazenava dados sensíveis (cartão, CPF) — se sim, monitore seu crédito
Na semana:
- Ative a autenticação em 2 fatores no site afetado se ainda não tiver feito
- Verifique seu e-mail no banco de dados HaveIBeenPwned para ver a exposição completa
- Gere uma nova senha única para cada site que encontrar comprometido (Gerador de senhas)
A longo prazo:
- Use uma senha diferente para cada site — sempre. Um gerenciador de senhas torna isso gerenciável.
- Ative 2FA no e-mail — é a chave de recuperação de tudo o mais
- Considere um congelamento de crédito se seu CPF foi exposto
A única coisa que realmente importa
A reutilização de senhas é a raiz da maioria das tomadas de conta após uma violação. Se sua senha do LinkedIn de 2012 é igual à sua senha do Gmail hoje, uma violação de 12 anos atrás ainda é uma ameaça atual.
Verifique se seu e-mail esteve em uma violação. Se esteve, trate cada senha que você usava naquela época como comprometida — e gere novas.