Se você tem visto as palavras vazamento de dados, data breach ou hackeado no noticiário ultimamente, não está sozinho — os anúncios de vazamento viraram um evento praticamente semanal, e a tendência de busca reflete isso. Este guia explica o que é, na prática, um vazamento, por que continuam acontecendo, o que é roubado, o que você pode fazer e uma resposta estrutural que ninguém comenta o bastante: aplicativos que não enviam seus dados para lugar nenhum não conseguem vazá-los.
O que é, na prática, um vazamento de dados
Um vazamento de dados é um incidente em que informação armazenada por uma organização é acessada, copiada ou divulgada por alguém sem autorização para vê-la. A informação pode ser cadastros de clientes, folhas de pagamento, números de cartão de crédito, hashes de senha, documentos internos ou dados pessoais sensíveis como prontuários médicos e endereços residenciais.
O mecanismo técnico varia — uma senha roubada, um servidor sem patch, um bucket na nuvem mal configurado, alguém de dentro mal-intencionado, um e-mail de phishing que abriu a porta para o atacante. A definição jurídica varia por jurisdição (LGPD aqui no Brasil, GDPR na UE, CCPA na Califórnia, HIPAA para saúde nos EUA — cada uma traça a linha diferente). Mas o sentido cotidiano é o mesmo: dado que era para ser privado deixou de ser.
Por que os vazamentos continuam acontecendo
O número de vazamentos por ano cresceu quase todos os anos da última década. Os motivos estruturais não são glamourosos:
- Hoje tudo fica na nuvem. Empresas que guardavam cadastros de cliente no servidor próprio agora guardam em buckets S3, bancos gerenciados e painéis SaaS. A superfície de ataque cresce a cada integração.
- Credenciais são o elo mais fraco. A maior parte dos vazamentos começa com uma senha comprometida. Autenticação multifator ajuda, mas a adoção é desigual e o 2FA por SMS é, ele próprio, atacável.
- Fornecedores e cadeia de suprimentos. Seus dados correm risco não só na empresa onde você se cadastrou, mas em cada fornecedor com quem ela compartilha — plataformas de analytics, processadoras de pagamento, ferramentas de suporte, parceiros de mídia. Cada um é um vetor próprio de vazamento.
- A detecção leva meses. A média do setor entre o comprometimento inicial e a detecção fica em torno de 200 dias. Seis meses em que o atacante extrai dados em silêncio antes que alguém perceba.
- As multas costumam ser menores que o valor do dado. Um vazamento custa em média US$ 4-5 milhões em remediação e multas. O valor ao longo da vida do dado, sobretudo se for reaproveitado em fraude, costuma ser maior. A economia não desencoraja com força a segurança ruim.
Que tipos de dados são roubados
Nem todo dado roubado faz o mesmo estrago. Mais ou menos em ordem do tamanho da dor de cabeça que um registro vazado pode te dar:
| Tipo de dado | Por que é ruim se vazar |
|---|---|
| Documentos de identidade | CPF, RG, CNH, passaporte. Usados para se passar por você. Os mais difíceis de trocar. |
| Registros financeiros | Números de cartão, dados de conta bancária, histórico de transações. Em geral monetizáveis na hora. |
| Senhas (em hash ou texto puro) | Reaproveitadas entre sites. Uma senha vazada → ataques de credential stuffing em todas as outras contas que usam a mesma. |
| Dados de contato pessoal | Combinações de e-mail + telefone + nome + endereço. Usados para phishing, golpe por SMS, doxxing. |
| Prontuários médicos / de saúde | Sensíveis e duradouros — seu histórico clínico não muda. Usados em fraude de plano de saúde e golpes direcionados. |
| Dados comportamentais | Histórico de navegação, rastros de localização, uso de apps. Usados para montar perfis para anúncios, golpes ou perseguição. |
O que você realmente pode fazer
A maior parte do conselho sobre isso é ou inútil ("não seja hackeado") ou esmagador ("troque amanhã todas as senhas"). A lista pragmática:
- Use um gerenciador de senhas. Uma senha forte e única por site, gerada e lembrada pelo gerenciador. Esse único passo neutraliza a maior parte dos ataques de credential stuffing. 1Password, Bitwarden e KeePass são todos sólidos.
- Ative 2FA, prefira o por aplicativo. Códigos de app autenticador (TOTP) ou chaves de segurança físicas ganham do SMS com folga. SMS é melhor que nada, mas ataques de SIM swap o contornam.
- Use o Have I Been Pwned. Serviço gratuito que diz em quais vazamentos seu e-mail apareceu. Cadastre-se para alertas; troque as senhas afetadas.
- Reduza o número de contas que você tem. Cada conta é um vetor de vazamento. Apague as que você parou de usar. Não crie cadastro só para ler um artigo.
- Prefira ferramentas offline quando der. Se uma tarefa pode ser feita sem enviar dado para serviço na nuvem, faça desse jeito. É a correção estrutural — veja a próxima seção.
A resposta estrutural: apps offline-first
A maioria dos dados pessoais acaba em algum vazamento porque, primeiro, foi enviada para um servidor. Um editor de fotos que sobe as suas para "melhorar". Um app de calculadora que envia analytics de uso. Um tradutor que faz log de cada palavra pesquisada. Um dicionário que exige cadastro.
A resposta estrutural é usar apps que não enviam seus dados para canto nenhum. Cálculos, consulta a dicionário, edição de PDF, bloqueio de tela, gravação de áudio — tudo pode ser feito inteiramente no aparelho. Se o app nunca tem seus dados, o próximo vazamento também não pode tê-los.
Esse é o princípio por trás de cada app no catálogo da NDT Studio. Nossos 45 dicionários offline não exigem cadastro. Nossa calculadora de IMC, ferramentas de PDF e apps utilitários funcionam sem conexão e não sincronizam dado nenhum para servidor. Não por princípio extraordinário, mas porque a arquitetura é a mais simples possível: sem servidor, sem vazamento.
Conheça os apps offline
Mantemos 61 apps offline gratuitos para Android e iOS — cobrindo mais de 45 idiomas, mais utilitários. Nenhum pede cadastro; nenhum sobe seu uso. Veja o catálogo completo para descobrir substitutos das versões dependentes de nuvem que você talvez use hoje.
Ver todos os apps da NDT Studio →FAQ rápido
Como sei se meus dados estavam em um vazamento?
A ferramenta mais fácil é o Have I Been Pwned (haveibeenpwned.com). Você coloca seu e-mail; ele cruza com as bases conhecidas de credenciais vazadas. Cadastre-se no serviço de notificação por e-mail para ser avisado quando vazamentos futuros incluírem você. É tocado pelo Troy Hunt e é genuinamente de graça.
Se uma empresa tem meus dados e sofre vazamento, eu tenho direito a alguma coisa?
Depende totalmente da jurisdição e do tamanho do vazamento. No Brasil, a LGPD obriga a empresa a comunicar a ANPD e os titulares afetados em prazo razoável, e indenizações dependem de ação judicial — pagamentos rápidos a indivíduos são raros. Nos EUA, ações coletivas às vezes pagam de US$ 5 a US$ 200 por vítima, normalmente após um ano de papelada. Na UE, o GDPR exige aviso em 72 horas. A expectativa realista: você talvez consiga monitoramento de crédito grátis por um ano. O valor maior está em trocar as senhas usadas no serviço vazado.
Usar app offline é mesmo mais seguro ou é só marketing?
É mais seguro de verdade para o risco específico de vazamento de dados. Um app offline não consegue vazar dado que ele não tem. Dito isso, apps offline podem ter outras vulnerabilidades — podem ter backdoor inserido no nível do desenvolvedor, conter bibliotecas com malware, ou coletar dados e fazer upload depois. O teste certo não é "é offline?", mas "transmite dado pessoal?". Cheque a política de privacidade e as permissões de rede do app antes de instalar.
Vazamentos de dados vão continuar acontecendo — as causas estruturais não estão melhorando. A estratégia realista é diminuir a superfície de ataque: menos contas, senhas mais fortes, 2FA onde der, e preferência por ferramentas que rodam sem subir suas informações. Apps offline-first são a versão mais simples desse princípio — e, por coincidência, é tudo o que a gente faz aqui na NDT Studio.