Monitoramento de Vazamento de Dados e Dark Web
Resposta direta
Monitoramento de dark web é a vigilância contínua de fóruns, marketplaces criminosos, canais de Telegram e bases de dados vazados em busca de credenciais, documentos e menções à sua organização. Quando um dado seu aparece em um stealer log ou combolist, o monitoramento detecta a exposição, identifica em qual serviço a senha precisa ser trocada e permite agir antes que criminosos usem o vazamento para credential stuffing, account takeover, ransomware ou fraude. Na prática moderna, dark web é apenas um dos pilares de uma disciplina maior — a gestão de exposição digital — que cobre também a clear web e a deep web.
Principais conclusões
- ›Credenciais roubadas estão por trás de uma fração dominante das invasões: o Verizon Data Breach Investigations Report (DBIR) aponta há vários anos consecutivos o uso de credenciais válidas como um dos vetores de acesso inicial mais recorrentes em violações reais.
- ›Stealer logs (logs de infostealers como RedLine, Raccoon, Vidar e Lumma) são hoje a principal matéria-prima do crime de credenciais: capturam senhas salvas no navegador, cookies de sessão e tokens — e organizam tudo por site, dizendo exatamente onde a vítima tinha login.
- ›Monitorar não é só saber que vazou — é saber EM QUAL SITE a credencial foi exposta para trocar exatamente aquela senha e revogar as sessões ativas, em vez de uma troca cega e ineficaz que não derruba o cookie roubado.
- ›A LGPD (art. 48), regulamentada pela Resolução CD/ANPD nº 15/2024, exige comunicar à ANPD e aos titulares quando o incidente puder acarretar risco ou dano relevante, em prazo de 3 dias úteis; o monitoramento dá o lastro factual para cumprir o prazo e a notificação.
- ›O plano gratuito de Gestão de Ameaças da Decripte (/intelligence-center) monitora seu domínio e seus e-mails corporativos e diz, por vazamento, qual credencial trocar — é a porta de entrada operacional desta solução.
O que é monitoramento de vazamento de dados e dark web
Monitoramento de vazamento de dados é a prática contínua de procurar, fora do perímetro da sua organização, por informações que deveriam ser privadas e apareceram em lugares onde não deveriam estar: bases de dados vazadas (data dumps), pacotes de credenciais (combolists), logs de malwares ladrões de informação (stealer logs), fóruns de hacking, canais de Telegram, repositórios públicos mal configurados e marketplaces criminosos. A dark web — a porção da internet acessível apenas por redes de anonimato como o Tor — é onde boa parte desse comércio acontece, mas a exposição moderna está também na clear web (Pastebin, GitHub, buckets S3 abertos) e na deep web (áreas autenticadas e não indexadas). Por isso o termo correto, em maturidade, é gestão de exposição digital, e o monitoramento de dark web é um de seus pilares — não o todo.
A diferença entre 'achar que está seguro' e 'saber se está exposto' é justamente o monitoramento. Uma organização pode ter firewall, MFA e EDR impecáveis e, ainda assim, ter centenas de credenciais de seus funcionários circulando porque eles reusaram a senha corporativa em um serviço de terceiros que sofreu breach, ou porque o computador pessoal de um colaborador foi infectado por um infostealer que capturou tudo que estava salvo no navegador. Nenhum controle de perímetro enxerga isso: o dado já saiu. O monitoramento de exposição é o controle que olha para fora e responde a uma pergunta que o resto da pilha de segurança não consegue responder: 'o que de nosso já está nas mãos do adversário, e onde?'
Tecnicamente, o monitoramento combina coleta automatizada (crawlers e coletores OSINT que varrem fontes abertas), aquisição de fontes fechadas (bases de stealer logs e dumps indexadas por provedores de threat intelligence), normalização (deduplicação, parsing de combolists no formato url:user:pass, atribuição da credencial ao serviço correto) e correlação (cruzar os achados com os seus ativos: domínio, e-mails, faixas de IP, nome de marca, documentos de executivos). O resultado útil não é uma lista crua de senhas — é um alerta acionável: 'a credencial [email protected] foi exposta em um stealer log associado ao login do Microsoft 365; troque a senha desse serviço e revogue as sessões ativas'.
O conceito de tornar a exposição visível ao titular foi popularizado pelo serviço Have I Been Pwned, criado por Troy Hunt, que indexa endereços de e-mail presentes em vazamentos conhecidos e permite que qualquer pessoa verifique se foi afetada. O monitoramento corporativo leva essa ideia adiante: em vez de uma consulta pontual e manual, é uma vigilância contínua, automatizada e priorizada por risco, que cobre não só e-mails mas todo o footprint digital da empresa e dispara antes que o dado vazado seja monetizado.
Stealer logs, combolists e o mercado de credenciais: como o dado vaza e vira ataque
Para monitorar com inteligência é preciso entender de onde o dado vem. Hoje, a fonte mais volumosa e perigosa de credenciais não é o vazamento de um grande banco de dados — é o stealer log. Infostealers são malwares comoditizados, vendidos como serviço (MaaS, malware-as-a-service), cujos exemplares mais conhecidos foram RedLine, Raccoon, Vidar, Lumma e similares. Ao infectar uma máquina — em geral via software pirata, cracks, extensões maliciosas, instaladores falsos ou anexos — o stealer exfiltra em segundos tudo que está salvo no navegador: logins e senhas autopreenchidos, cookies de sessão, tokens de autenticação, dados de cartão, carteiras de criptomoedas e a impressão digital do dispositivo. Cada infecção gera um 'log' organizado por domínio, listando exatamente em quais sites aquela vítima tinha credenciais salvas.
É essa estrutura que torna o stealer log tão valioso para o monitoramento e tão devastador no ataque. Como o log diz 'esta vítima tinha senha salva para login.microsoftonline.com, para o portal de RH da empresa X, para o internet banking Y', tanto o criminoso quanto o defensor que monitora sabem precisamente onde a credencial vale. Pior: cookies de sessão roubados permitem session hijacking, em que o atacante importa o cookie no próprio navegador e entra na conta já autenticado — burlando até o MFA, porque a sessão já passou pelo segundo fator. Isso é catalogado no MITRE ATT&CK como Steal Web Session Cookie (T1539), e é a razão pela qual 'tenho MFA' não basta sem revogação de sessão após um vazamento: trocar a senha não invalida, por si só, um cookie de sessão já roubado.
Combolists são o segundo grande insumo: arquivos enormes no formato email:senha ou url:login:senha, montados pela agregação de múltiplos vazamentos e stealer logs. Servem de munição direta para o credential stuffing — ataques automatizados que testam, em escala industrial, combinações vazadas contra centenas de serviços, apostando no reuso de senha. Como uma fração relevante das pessoas reutiliza a mesma senha em vários lugares (comportamento humano, não falha técnica), uma credencial vazada em um fórum de jogos pode abrir o e-mail corporativo, o painel administrativo e o ERP. Esse é o elo B2C dentro do B2B: a empresa é comprometida pelo hábito humano de um único colaborador. O OWASP cataloga o credential stuffing como OAT-008 em seu Automated Threat Handbook.
Uma vez de posse de credenciais válidas, o atacante executa account takeover (ATO): assume contas legítimas e se move com identidade confiável, o que torna a detecção dificílima porque, do ponto de vista dos logs, é um login normal. No MITRE ATT&CK, o uso de credenciais válidas como técnica de acesso inicial, persistência, escalada de privilégio e evasão de defesa aparece de forma transversal em Valid Accounts (T1078). O Verizon DBIR, referência anual da indústria, mostra ano após ano que o roubo e o uso de credenciais figura entre os vetores de acesso inicial mais frequentes em violações reais — o que faz do monitoramento de credenciais não um luxo, mas um controle de primeira linha.
A monetização fecha o ciclo: credenciais e logs são vendidos em marketplaces e fóruns (historicamente Genesis Market, Russian Market, BreachForums e seus sucessores), negociados em canais de Telegram e empacotados em 'fresh logs' atualizados diariamente. Acessos iniciais corporativos são revendidos por Initial Access Brokers (IABs) a grupos de ransomware, que usam a credencial comprada como porta de entrada para criptografar a empresa inteira. Monitorar esses ambientes é, portanto, interceptar o ataque em seu estágio mais barato de conter — quando o dado já vazou, mas ainda não foi usado contra você.
Descubra agora, sem custo, o que da sua empresa já está exposto: o plano gratuito de Gestão de Ameaças da Decripte monitora seu domínio e seus e-mails corporativos e diz, por vazamento, exatamente qual credencial trocar. Comece grátis em /intelligence-center — e escale para SOC 24x7 ou Resposta a Incidentes quando a exposição exigir.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Como funciona a coleta: OSINT, fontes fechadas e atribuição ao seu footprint
A coleta séria de inteligência de exposição opera em camadas e respeita o ciclo de threat intelligence (direcionamento, coleta, processamento, análise, disseminação e feedback), modelo consolidado pela doutrina de inteligência e adotado por programas de CTI corporativos. A primeira camada é OSINT (open-source intelligence): coletores automatizados varrem fontes abertas — Pastebin e pastes públicos, repositórios GitHub/GitLab, buckets de armazenamento mal configurados, certificados emitidos (Certificate Transparency), DNS, registros WHOIS e a clear web — atrás de segredos expostos, chaves de API vazadas, subdomínios esquecidos e menções à marca. OSINT é legal, escalável e cobre boa parte da exposição moderna, que muitas vezes nem chega à dark web.
A segunda camada é a aquisição e indexação de fontes fechadas: bases consolidadas de stealer logs, dumps de vazamentos históricos e combolists, além de coleta em fóruns e marketplaces que exigem reputação, convite ou navegação via Tor. Aqui entram a disciplina de inteligência técnica e a operação de provedores especializados que mantêm acesso a esses ambientes de forma controlada e ética, sem participar do crime. Para a maioria das organizações, faz sentido consumir essa inteligência por meio de um parceiro que já indexa e normaliza essas bases, em vez de tentar navegar manualmente em ambientes hostis — o que tem risco operacional, jurídico e de segurança.
O passo que separa um relatório inútil de um alerta acionável é a atribuição ao footprint. Não basta encontrar uma senha solta; é preciso ligá-la inequivocamente a um ativo seu. O monitoramento mapeia o que é 'você' — domínios e subdomínios, padrões de e-mail corporativo, faixas de IP e ASN, nome e variações da marca, nomes de executivos (para fraude do tipo BEC e impersonação) — e cruza cada achado contra esse inventário. Combolists no formato url:user:pass são parseadas para descobrir o serviço de destino; e-mails são deduplicados; a procedência (stealer log recente vs. dump antigo já trocado) é avaliada para definir a severidade. Esse enriquecimento é o que permite dizer com precisão 'troque a senha DESTE serviço' em vez de 'algo seu vazou em algum lugar'.
Há ainda a frente de impersonação de marca, frequentemente subestimada. O monitoramento procura domínios de typosquatting e combosquatting (variações enganosas do seu domínio), páginas de phishing que clonam seu login, perfis falsos em redes sociais, aplicativos fraudulentos e anúncios maliciosos que usam sua marca. Detectar uma página de phishing recém-registrada — muitas vezes hospedada em provedores legítimos como netlify.app ou vercel.app, o que escapa de filtros simples por typosquatting — permite acionar takedown antes que ela colete credenciais dos seus clientes. É inteligência que protege não a sua infraestrutura, mas a confiança da sua marca e os dados das pessoas que confiam nela.
Por fim, maturidade real significa fechar o loop com automação e cadência. Coleta pontual não serve: stealer logs são gerados todos os dias e a janela entre o vazamento e o uso pode ser de horas. Por isso o monitoramento opera de forma contínua e agendada, com deduplicação para não repetir alertas, priorização por risco para não afogar a equipe em ruído e integração com o processo de resposta para que cada achado relevante vire uma ação — troca de senha, revogação de sessão, abertura de incidente, eventualmente notificação à ANPD. É exatamente esse fluxo que a Decripte automatiza no plano gratuito de Gestão de Ameaças.
Por que importa: credential stuffing, account takeover, ransomware e fraude
A consequência de uma credencial vazada raramente é abstrata. O caminho mais direto é o credential stuffing seguido de account takeover: o atacante testa a credencial vazada e, se ela ainda for válida (ou se a senha foi reusada), entra. A partir daí, dependendo da conta, o estrago varia de leitura de e-mails sensíveis a movimentação financeira, exfiltração de bases de clientes e escalada de privilégios. Como o login é tecnicamente legítimo, ferramentas baseadas em assinatura não disparam; é preciso detecção comportamental e, sobretudo, ter sabido do vazamento antes para invalidar a credencial preventivamente. O custo de prevenção (trocar uma senha) é desprezível perto do custo de resposta a um ATO consumado.
No nível corporativo, a credencial vazada é o pé de cabra do ransomware moderno. Relatórios de resposta a incidentes da indústria mostram consistentemente que uma parcela expressiva dos ataques de ransomware começa com acesso obtido por credenciais válidas — compradas de Initial Access Brokers que, por sua vez, as extraíram de stealer logs e combolists. Quando a credencial monitorada pertence a uma VPN, um RDP exposto, um painel de administração ou uma conta de e-mail com privilégio, o vazamento deixa de ser um problema de privacidade individual e passa a ser um risco existencial para a empresa. Interceptar essa credencial no estágio de exposição é cortar a cadeia de ataque antes do elo mais caro.
Há também o vetor de fraude e engenharia social. Dados vazados — não só senhas, mas e-mails, telefones, cargos, CPFs e organogramas — alimentam ataques de Business Email Compromise (BEC), em que o golpista se passa por um executivo para autorizar uma transferência, e campanhas de spear phishing altamente personalizadas. Quanto mais o atacante sabe sobre a vítima (graças ao que vazou), mais convincente é o golpe. No Brasil, com a centralidade do CPF e a popularidade do Pix, dados pessoais vazados se convertem rapidamente em fraude financeira, abertura de contas fraudulentas e golpes contra clientes da empresa, transferindo o dano para o consumidor final — o lado humano do incidente corporativo.
Existe ainda a dimensão regulatória e reputacional, que para muitos decisores é o que torna o tema inadiável. Sob a LGPD, dados pessoais vazados que possam acarretar risco relevante aos titulares disparam obrigações de notificação (detalhadas na seção seguinte), exposição a sanções da ANPD e dever de transparência. Reputacionalmente, descobrir um vazamento pela imprensa ou por um cliente lesado é muito pior do que descobri-lo por monitoramento próprio e tratá-lo proativamente. A organização que monitora não apenas reduz risco técnico: ela demonstra diligência, fortalece a defesa jurídica e preserva a confiança — ativos que se perdem em minutos e levam anos para reconstruir.
Por trás de cada estatística há pessoas. O colaborador cuja conta foi sequestrada e usada para fraudar colegas; o cliente cujo CPF vazado virou um financiamento fantasma; o gestor que precisa explicar ao conselho por que ninguém percebeu. Monitorar exposição é, no fundo, um ato de cuidado: é olhar para fora antecipadamente para que nenhuma dessas pessoas seja surpreendida pelo que já estava, silenciosamente, à venda.
Comece pelo diagnóstico gratuito e entenda o seu risco real antes de investir.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
O que fazer quando um dado vaza: resposta, troca de credenciais e notificação LGPD
Detectar é metade do trabalho; o valor se realiza na resposta. O primeiro passo, ao receber um alerta de credencial exposta, é a contenção de identidade: trocar a senha exatamente do serviço apontado pelo vazamento e — criticamente — revogar todas as sessões ativas e tokens daquela conta. Trocar a senha sem revogar sessões é insuficiente quando o vazamento inclui cookies de sessão: o atacante que importou o cookie continua autenticado mesmo depois da troca, porque a sessão dele já passou pelo login e pelo MFA. Por isso, em contas críticas, o procedimento correto é trocar a senha, forçar logout global (revogar todos os refresh tokens e sessões), reemitir o segundo fator quando aplicável e investigar acessos recentes em busca de uso indevido. É a diferença entre conter e apenas 'achar que conteve'.
O segundo passo é avaliar o alcance. Uma credencial exposta de um colaborador raramente está sozinha: o mesmo stealer log costuma trazer dezenas de outros serviços daquela máquina, e o mesmo padrão de reuso de senha pode contaminar outras contas internas. A resposta madura trata o achado como um indicador, não como um caso isolado — verifica se a senha reusada abre outros sistemas, se há sinais de movimentação lateral, se o dispositivo de origem precisa ser isolado e reimagem, e se a infecção por infostealer ainda está ativa naquela máquina (caso em que trocar a senha sem limpar o endpoint só gera uma nova credencial para o mesmo malware roubar). Aqui o monitoramento conecta-se à resposta a incidentes propriamente dita.
O terceiro passo, quando há dados pessoais envolvidos, é o enquadramento legal. No Brasil, a LGPD (art. 48), regulamentada pela Resolução CD/ANPD nº 15/2024, determina que o controlador comunique à ANPD e aos titulares afetados os incidentes de segurança que possam acarretar risco ou dano relevante — e a regulamentação fixa o prazo de 3 (três) dias úteis, contados do conhecimento do incidente, para a comunicação à autoridade. A comunicação deve descrever a natureza dos dados, os titulares envolvidos, as medidas técnicas adotadas e os riscos. O monitoramento é o que dá o lastro factual para esse processo: sem saber o que vazou, qual a procedência e quantos titulares foram atingidos, é impossível cumprir o prazo com a precisão que a norma exige — e improvisar a notificação no escuro costuma agravar a exposição jurídica em vez de mitigá-la.
Por fim, vem o aprendizado e o fechamento do ciclo. Cada vazamento tratado deve realimentar os controles: reforçar política de senhas e gerenciador de senhas corporativo, ampliar MFA resistente a phishing (FIDO2/passkeys) nas contas críticas, restringir software não autorizado nos endpoints (a porta de entrada dos infostealers), e ajustar o próprio monitoramento para cobrir o ativo ou padrão que escapou. Resposta sem aprendizado condena a empresa a repetir o mesmo incidente; resposta com aprendizado transforma cada exposição detectada em uma redução real da superfície de ataque. Esse loop — detectar, conter, notificar quando devido e endurecer — é a essência operacional de uma boa gestão de exposição.
Como começar na prática e quando contratar cada nível
Na prática, o ponto de partida desta solução é o plano gratuito de Gestão de Ameaças da Decripte, em /intelligence-center. Você informa o domínio e os e-mails corporativos, e o monitoramento varre fontes abertas e bases indexadas de vazamentos, retornando — por achado — qual credencial foi exposta e em qual serviço a senha precisa ser trocada. É deliberadamente acionável: em vez de um relatório de centenas de páginas, entrega a próxima ação. Para a maioria das pequenas e médias empresas, isso já cobre a pergunta mais urgente ('o que de nosso já vazou e o que faço agora?') sem custo e sem projeto.
O nível seguinte é necessário quando o monitoramento deixa de ser uma checagem periódica e passa a exigir correlação contínua e resposta operada. Se a sua organização tem volume de alertas que precisa ser triado 24x7, se os achados de exposição precisam ser cruzados com logs de autenticação, EDR e firewall para confirmar uso indevido, ou se você precisa de alguém de plantão para invalidar credenciais e isolar contas fora do horário comercial, o caminho é o SOC 24x7 Gerenciado (/plano/soc-247). Ele transforma o feed de exposição em detecção e resposta operadas por analistas, com SIEM e threat hunting sobre toda a telemetria — não só sobre o que vazou.
O terceiro nível entra quando o vazamento já virou incidente: há sinais de account takeover em andamento, ransomware iniciado a partir de uma credencial comprada, exfiltração de dados ou a necessidade de notificar a ANPD com perícia. Nesse momento, a resposta a incidentes (/plano/resposta-incidentes) cobre contenção, forense, erradicação, recuperação e o suporte ao enquadramento regulatório. A regra prática de roteamento é simples: monitoramento e descoberta começam no gratuito; vigilância e resposta contínuas vivem no SOC; e a crise declarada é tratada pela resposta a incidentes. Os três se encadeiam — o gratuito alimenta o SOC, e o SOC aciona a resposta quando a linha do incidente é cruzada.
Vale uma palavra sobre o que esperar e o que não esperar. Nenhum monitoramento captura 100% do que existe na dark web — parte do crime opera em ambientes fechados, efêmeros ou privados que nenhuma indexação alcança em tempo real. O objetivo realista não é onisciência, e sim reduzir drasticamente a janela entre o vazamento e a sua reação, e cobrir as fontes onde a esmagadora maioria das credenciais corporativas efetivamente circula. Desconfie de quem promete varrer 'toda a dark web' ou garantir detecção total: a honestidade técnica é parte do valor. O que um bom programa entrega é vigilância contínua, atribuição precisa ao seu footprint e um caminho claro da detecção até a ação.
Monitoramento gratuito vs. SOC 24x7 vs. Resposta a Incidentes: quando usar cada um
| Critério | Gestão de Ameaças (Grátis) — /intelligence-center | SOC 24x7 — /plano/soc-247 | Resposta a Incidentes — /plano/resposta-incidentes |
|---|---|---|---|
| Objetivo principal | Descobrir o que já vazou e qual senha trocar | Vigilância e resposta contínuas operadas | Conter e remediar um incidente declarado |
| Quando acionar | Sempre — ponto de partida de todos | Quando há volume de alertas e necessidade de correlação 24x7 | Quando o vazamento virou ATO, ransomware ou exfiltração |
| O que cobre | Domínio e e-mails corporativos em fontes abertas e indexadas | Correlação (SIEM), threat hunting e resposta sobre toda a telemetria | Forense, contenção, erradicação, recuperação e suporte à notificação |
| Operação | Automatizada e self-service | Analistas de plantão 24x7 | Equipe de IR sob demanda em crise |
| Custo | Gratuito | Plano gerenciado | Plano gerenciado / acionamento |
| Encadeamento | Alimenta o SOC | Aciona a Resposta a Incidentes | Retroalimenta controles e monitoramento |
Termos-chave
- Dark web
- Porção da internet acessível apenas por redes de anonimato como o Tor, onde grande parte do comércio de credenciais, dados vazados e acessos corporativos acontece. É distinta da deep web (conteúdo não indexado, mas acessível, como áreas autenticadas) e da clear web (internet pública).
- Stealer log
- Conjunto de dados exfiltrados de uma máquina infectada por um malware infostealer (RedLine, Raccoon, Vidar, Lumma e similares). Contém senhas salvas no navegador, cookies de sessão, tokens e dados de cartão, organizados por site — o que revela exatamente onde a vítima tinha credenciais.
- Combolist
- Arquivo com grande volume de pares de credenciais no formato email:senha ou url:login:senha, agregado de múltiplos vazamentos e stealer logs. É a munição direta para ataques de credential stuffing.
- Credential stuffing
- Ataque automatizado que testa, em escala industrial, credenciais vazadas contra muitos serviços, explorando o reuso de senha. Catalogado pela OWASP como OAT-008 no Automated Threat Handbook.
- Account takeover (ATO)
- Tomada de uma conta legítima por um atacante de posse de credenciais válidas. Como o login é tecnicamente legítimo, é difícil de detectar por assinatura; exige detecção comportamental e invalidação preventiva da credencial.
- Session hijacking
- Sequestro de uma sessão autenticada pela reutilização de um cookie de sessão roubado, permitindo acesso à conta sem senha e burlando o MFA já validado. Catalogado no MITRE ATT&CK como Steal Web Session Cookie (T1539).
- Initial Access Broker (IAB)
- Agente do submundo cibernético especializado em obter e revender acessos iniciais a redes corporativas — frequentemente extraídos de stealer logs — para grupos de ransomware e outros atacantes.
- Gestão de exposição digital
- Disciplina que monitora continuamente, fora do perímetro, tudo que vazou ou está exposto sobre a organização — credenciais, dados, segredos e impersonação de marca — na dark web, na deep web e na clear web. O monitoramento de dark web é um de seus pilares.
Por onde começar
- Mapeie seu footprint: liste domínios, subdomínios, padrões de e-mail corporativo, faixas de IP/ASN, variações da marca e nomes de executivos — é contra esse inventário que os vazamentos serão correlacionados.
- Ative o monitoramento contínuo no plano gratuito de Gestão de Ameaças (/intelligence-center) informando seu domínio e e-mails corporativos para varrer fontes abertas e bases indexadas de vazamentos.
- Ao receber um alerta, identifique o serviço exato apontado pelo vazamento e troque a senha apenas daquela conta — não faça troca cega de todas as senhas.
- Revogue todas as sessões e tokens ativos da conta afetada (logout global) e reemita o segundo fator; trocar a senha não derruba, sozinha, um cookie de sessão já roubado.
- Verifique o alcance: confira se a senha reusada abre outros sistemas, se o dispositivo de origem está infectado por infostealer e se há sinais de movimentação lateral.
- Enquadre o caso na LGPD quando houver dados pessoais: avalie risco relevante e, se aplicável, comunique a ANPD e os titulares no prazo de 3 dias úteis (Resolução CD/ANPD nº 15/2024).
- Realimente os controles: reforce gerenciador de senhas, MFA resistente a phishing (FIDO2/passkeys), restrição de software nos endpoints e a cobertura do próprio monitoramento.
- Escale para SOC 24x7 (/plano/soc-247) quando precisar de correlação e resposta contínuas, e para Resposta a Incidentes (/plano/resposta-incidentes) quando o vazamento virar incidente declarado.
Perguntas frequentes
O que é monitoramento de dark web e como ele funciona?
É a vigilância contínua de fóruns, marketplaces, canais de Telegram e bases de dados vazados em busca de informações da sua organização. Funciona em camadas: coleta automatizada de fontes abertas (OSINT), aquisição e indexação de fontes fechadas (stealer logs, dumps e combolists) e correlação dos achados com o seu footprint digital. O resultado não é uma lista crua de senhas, e sim alertas acionáveis que dizem qual credencial trocar e em qual serviço.
Como descubro se a minha empresa teve dados ou credenciais vazados?
O caminho mais rápido é o plano gratuito de Gestão de Ameaças da Decripte (/intelligence-center): você informa o domínio e os e-mails corporativos e o monitoramento varre fontes abertas e bases indexadas de vazamentos, retornando por achado qual credencial foi exposta e em qual site a senha precisa ser trocada. Diferente de uma consulta pontual, é uma vigilância contínua e priorizada por risco.
O que é um stealer log e por que ele é tão perigoso?
Stealer log é o pacote de dados que um malware infostealer (como RedLine, Raccoon, Vidar ou Lumma) rouba de uma máquina infectada: senhas salvas no navegador, cookies de sessão, tokens e dados de cartão, organizados por site. É perigoso porque revela exatamente onde a vítima tinha credenciais e porque os cookies de sessão permitem entrar na conta já autenticado, burlando o MFA. É hoje a principal matéria-prima do crime de credenciais.
Se eu tenho MFA, ainda preciso me preocupar com credenciais vazadas?
Sim. O MFA reduz drasticamente o risco de credential stuffing, mas não protege contra cookies de sessão roubados: um atacante que importa um cookie válido entra com a sessão já autenticada, depois do segundo fator. Por isso, após um vazamento, é essencial não só trocar a senha mas revogar todas as sessões ativas (logout global). Catalogado no MITRE ATT&CK como Steal Web Session Cookie (T1539).
O que devo fazer quando recebo um alerta de credencial exposta?
Troque a senha exatamente do serviço apontado pelo vazamento e revogue todas as sessões e tokens daquela conta. Em seguida, verifique se a senha foi reusada em outros sistemas, se o dispositivo de origem está infectado por infostealer e se há sinais de uso indevido. Se houver dados pessoais envolvidos, avalie a obrigação de notificação sob a LGPD. Trocar a senha sem revogar sessões é insuficiente quando há cookies roubados.
Vazamento de dados obriga a notificar a ANPD?
Depende do risco. A LGPD (art. 48), regulamentada pela Resolução CD/ANPD nº 15/2024, obriga o controlador a comunicar à ANPD e aos titulares quando o incidente puder acarretar risco ou dano relevante — por exemplo, exposição em larga escala, dados sensíveis ou de grupos vulneráveis. A regulamentação fixa o prazo de 3 dias úteis a partir do conhecimento do incidente. O monitoramento fornece o lastro factual (o que vazou, a procedência e os titulares atingidos) para cumprir o prazo com precisão.
Qual a diferença entre o monitoramento gratuito, o SOC 24x7 e a resposta a incidentes?
O monitoramento gratuito (/intelligence-center) descobre o que já vazou e diz qual senha trocar — é o ponto de partida. O SOC 24x7 (/plano/soc-247) entra quando você precisa de correlação contínua dos achados com seus logs e de resposta operada por analistas 24x7. A resposta a incidentes (/plano/resposta-incidentes) é acionada quando o vazamento já virou incidente: account takeover em curso, ransomware ou necessidade de forense e notificação. Os três se encadeiam.
O monitoramento captura tudo o que está na dark web?
Não, e desconfie de quem promete isso. Parte do crime opera em ambientes fechados, efêmeros ou privados que nenhuma indexação alcança em tempo real. O objetivo realista não é onisciência, e sim reduzir drasticamente a janela entre o vazamento e a sua reação, cobrindo as fontes onde a esmagadora maioria das credenciais corporativas efetivamente circula. A honestidade técnica sobre cobertura é parte do valor da solução.
Referências e normas técnicas
- ›LGPD art. 48 — comunicação de incidente de segurança aos titulares e à ANPD — Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), art. 48
- ›Resolução CD/ANPD nº 15/2024 — Regulamento de Comunicação de Incidente de Segurança (prazo de 3 dias úteis) — Autoridade Nacional de Proteção de Dados (ANPD), gov.br/anpd
- ›MITRE ATT&CK — Steal Web Session Cookie (T1539) e Valid Accounts (T1078) — attack.mitre.org/techniques/T1539 e /T1078
- ›OWASP Automated Threat Handbook — Credential Stuffing (OAT-008) — OWASP Automated Threats to Web Applications Project, owasp.org
- ›Verizon Data Breach Investigations Report (DBIR) — vetores de acesso inicial e uso de credenciais — Verizon Business, verizon.com/business/resources/reports/dbir
- ›Have I Been Pwned — indexação de e-mails em vazamentos conhecidos — Troy Hunt, haveibeenpwned.com
Como a Decripte entrega esta solução
Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo para o seu momento.
Gestão de Ameaças (Grátis)
Monitore domínio e e-mails, veja o que já vazou e em qual site trocar a senha — grátis.
SOC 24x7 Gerenciado
Correlação contínua e resposta a credenciais e dados expostos.
Resposta a Incidentes
Quando o vazamento vira incidente: contenção, troca de credenciais e notificação.
Descubra agora, sem custo, o que da sua empresa já está exposto: o plano gratuito de Gestão de Ameaças da Decripte monitora seu domínio e seus e-mails corporativos e diz, por vazamento, exatamente qual credencial trocar. Comece grátis em /intelligence-center — e escale para SOC 24x7 ou Resposta a Incidentes quando a exposição exigir.
Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.
