Se tem visto as palavras violação de dados, fuga de dados ou hackeado nas notícias ultimamente, não está sozinho — as divulgações de incidentes tornaram-se praticamente semanais, e a tendência de pesquisa reflete isso. Este guia explica o que é realmente uma violação, porque continuam a acontecer, o que é roubado, o que pode fazer e uma resposta estrutural pouco discutida: apps que não enviam os seus dados para lugar nenhum não os podem deixar vazar.
O que é realmente uma violação de dados
Uma violação de dados é um incidente em que informação armazenada por uma organização é acedida, copiada ou divulgada por alguém sem autorização para a ver. A informação pode ser registos de clientes, ficheiros de salários, números de cartão de crédito, hashes de palavras-passe, documentos internos ou dados pessoais sensíveis como registos médicos e moradas.
O mecanismo técnico varia — uma palavra-passe roubada, um servidor sem patches, um bucket de cloud mal configurado, um insider mal-intencionado, um email de phishing que deu aos atacantes uma porta de entrada. A definição legal varia por jurisdição (RGPD, CCPA, HIPAA traçam a linha de forma diferente). Mas o significado quotidiano é o mesmo: dados que deviam ser privados deixaram de o ser.
Porque é que as violações continuam a acontecer
O número de violações por ano cresceu quase todos os anos da última década. As razões estruturais não têm glamour:
- Hoje tudo é guardado na cloud. Empresas que antes guardavam registos de clientes localmente guardam-nos agora em buckets S3, bases de dados geridas e dashboards SaaS. A superfície de ataque cresce com cada integração.
- As credenciais são o elo mais fraco. A maioria das violações começa com uma palavra-passe comprometida. A autenticação multifator ajuda, mas a adoção é desigual e o 2FA por SMS é atacável.
- Fornecedores e cadeias de fornecimento. Os seus dados estão em risco não só pela empresa onde se inscreveu, mas por cada fornecedor com quem ela partilha — plataformas de analítica, processadores de pagamento, ferramentas de suporte, parceiros publicitários. Cada um é um vetor de violação próprio.
- A deteção demora meses. A média da indústria entre o comprometimento inicial e a deteção ronda os 200 dias. Seis meses de um atacante a exfiltrar dados em silêncio antes de alguém reparar.
- As coimas são geralmente menores que o valor dos dados. Uma violação custa em média 4-5 milhões USD em limpeza e multas. O valor de longo prazo dos dados, sobretudo se reutilizados para fraude, é muitas vezes superior. A economia não desincentiva fortemente a má segurança.
Que tipos de dados são roubados
Nem todos os dados roubados são igualmente prejudiciais. Aproximadamente pela ordem de chatice que um registo vazado pode causar:
| Tipo de dados | Porque é mau se vazar |
|---|---|
| Documentos de identidade | Passaporte, BI, número de carta de condução. Usados para personificação. Os mais difíceis de mudar. |
| Registos financeiros | Números de cartão, dados bancários, histórico de transações. Geralmente diretamente monetizáveis. |
| Palavras-passe (em hash ou texto) | Reutilizadas em vários sites. Uma palavra-passe vazada → ataques de credential stuffing a todas as outras contas que a usem. |
| Informação de contacto pessoal | Combinações de email + telefone + nome + morada. Usadas para phishing, fraude por SMS, doxxing. |
| Registos médicos / de saúde | Sensíveis e duradouros — o seu historial médico não muda. Usados para fraude de seguros e burlas dirigidas. |
| Dados comportamentais | Histórico de navegação, localização, uso de apps. Usados para construir perfis para publicidade, burlas ou perseguição. |
O que pode realmente fazer
A maior parte dos conselhos sobre isto é inútil ("não seja hackeado") ou esmagadora ("mude todas as palavras-passe amanhã"). A lista pragmática:
- Use um gestor de palavras-passe. Uma palavra-passe forte e única por site, gerada e memorizada pelo gestor. Só este passo neutraliza a maioria dos ataques de credential stuffing. 1Password, Bitwarden e KeePass são sólidos.
- Ative 2FA, prefira por app. Códigos de app autenticadora (TOTP) ou chaves físicas de segurança batem o SMS de longe. SMS é melhor que nada, mas ataques de SIM-swap contornam-no.
- Use o Have I Been Pwned. Serviço grátis que lhe diz em que violações o seu email apareceu. Inscreva-se nos alertas; troque as palavras-passe afetadas.
- Reduza o número de contas que tem. Cada conta é um vetor de violação. Apague as que deixou de usar. Não se inscreva só para ler um artigo.
- Prefira ferramentas offline sempre que possível. Se um trabalho pode ser feito sem enviar dados para um serviço cloud, faça-o assim. É a correção estrutural — ver secção seguinte.
A resposta estrutural: apps offline-first
A maioria dos dados pessoais acaba numa violação porque, à partida, foi enviada para um servidor. Um editor de fotos que carrega as suas fotos para "melhorar". Uma app de calculadora que envia analítica de utilização. Um tradutor que regista cada palavra pesquisada. Um dicionário que exige conta.
A resposta estrutural é usar apps que não enviam os seus dados para lado nenhum. Cálculos, consultas em dicionário, edição de PDF, bloqueio de ecrã, gravação de voz — tudo pode ser feito inteiramente no seu dispositivo. Se a app nunca tem os seus dados, a próxima violação também não os tem.
É o princípio por trás de cada app no catálogo da NDT Studio. Os nossos 45 dicionários offline não exigem conta. A nossa calculadora de IMC, ferramentas PDF e apps utilitárias funcionam sem ligação à internet e não sincronizam dados para servidor. Não por princípio extraordinário, mas porque a arquitetura é a mais simples: sem servidor, sem violação.
Veja o catálogo offline
Mantemos 61 apps offline grátis para Android e iOS — cobrindo mais de 45 idiomas, mais utilitários. Nenhuma pede conta; nenhuma envia o seu uso. Veja o catálogo completo para descobrir substitutos para versões dependentes de cloud que possa estar a usar.
Ver todas as apps NDT Studio →FAQ rápido
Como sei se os meus dados estiveram numa violação?
A ferramenta mais fácil é Have I Been Pwned (haveibeenpwned.com). Introduz o seu email; cruza com bases conhecidas de credenciais vazadas. Inscreva-se no serviço de notificações por email para ser alertado quando futuras violações o incluírem. É gerido por Troy Hunt e é genuinamente gratuito.
Se uma empresa tem os meus dados e é violada, tenho direito a algo?
Depende totalmente da jurisdição e do tamanho da violação. Nos EUA, acordos coletivos pagam às vezes 5-200 USD por afetado, normalmente após um ano de papelada. Na UE, o RGPD obriga a empresa a notificá-lo em 72 horas e pode dar-lhe proteções adicionais, mas pagamentos em dinheiro a particulares são raros. A expectativa realista: pode ser-lhe oferecido monitorização de crédito grátis por um ano. O maior valor é mudar as palavras-passe usadas no serviço comprometido.
Usar apps offline é realmente mais seguro ou é só marketing?
É genuinamente mais seguro para o risco específico das violações de dados. Uma app offline não pode vazar dados que não tem. Dito isto, apps offline podem ter outras vulnerabilidades — podem ter backdoors a nível do programador, bibliotecas com malware, ou recolher dados e enviá-los mais tarde. O teste certo não é "é offline?" mas "transmite dados pessoais?". Verifique a política de privacidade e as permissões de rede antes de instalar.
As violações continuarão a acontecer — as causas estruturais não estão a melhorar. A estratégia realista é reduzir a superfície: menos contas, palavras-passe mais fortes, 2FA onde possível e preferência por ferramentas que funcionam sem enviar a sua informação. Apps offline-first são a versão mais simples desse princípio, e acontece que é tudo o que a NDT Studio faz.