Descobri que dados ou credenciais da minha empresa estão à venda na dark web
O que fazer agora
Não acesse o anúncio nem pague o criminoso. Primeiro, confirme o escopo do vazamento de forma legal e gratuita: rode o scan de exposição de credenciais, dark web e reputação de domínio no plano gratuito de Gestão de Ameaças da Decripte em https://decripte.io/free (sem cartão, sem equipe técnica). Em paralelo, force o reset de todas as senhas potencialmente afetadas, invalide sessões ativas e ative MFA. Se houver dados pessoais envolvidos, você pode ter de notificar a ANPD em até 3 dias úteis a contar da ciência. Se já há sinal de uso indevido, acione a Resposta a Incidentes 24/7 da Decripte em https://decripte.io/contato, com SOC e contenção em até 1 hora.
SOC 24x7 e SLA de contenção de até 1 hora. A Decripte é especialista em resposta a incidentes para fintechs, crypto, apps, e-commerces e empresas de todos os tamanhos.
Sinais de alerta
- ›Você recebeu um e-mail, mensagem ou ligação afirmando ter dados ou acessos da sua empresa à venda, às vezes com uma amostra real anexada.
- ›Um serviço de monitoramento, parceiro ou cliente avisou que credenciais do seu domínio apareceram em um vazamento.
- ›Funcionários relatam tentativas de login que não fizeram, alertas de MFA inesperados ou senhas que pararam de funcionar.
- ›Surgiram regras de encaminhamento de e-mail, filtros ou aplicativos conectados que ninguém da equipe criou.
- ›Logins a partir de países, IPs ou horários incompatíveis com a operação aparecem nos relatórios de acesso.
- ›Clientes ou fornecedores relatam mensagens de cobrança, golpes ou phishing supostamente vindos da sua empresa.
- ›Tokens de API, chaves de acesso ou credenciais de serviço aparecem em buscas públicas, repositórios ou colados em pastebins.
Primeiros passos — o que fazer agora
- 1
Confirme o escopo sem acessar fontes ilegais
Não entre em fóruns da dark web nem pague por amostras: é arriscado, pode configurar ilícito e financia o atacante. Use o scan gratuito de Gestão de Ameaças da Decripte em https://decripte.io/free para descobrir, de forma legal, quais e-mails, senhas e ativos do seu domínio aparecem em vazamentos e na dark web.
- 2
Rotacione e force reset de todas as credenciais afetadas
Troque imediatamente as senhas dos e-mails, painéis e contas identificados. Se uma senha vazou, considere comprometidas todas as contas onde ela foi reutilizada. Force reset em massa via seu provedor de identidade (Google Workspace, Microsoft 365, Active Directory) e invalide sessões e tokens ativos, pois uma senha nova não expulsa quem já está logado.
- 3
Ative MFA em tudo que for crítico
Habilite autenticação multifator (preferencialmente app autenticador ou chave física, não SMS) em e-mail corporativo, VPN, painéis de nuvem, banco e ferramentas administrativas. O MFA neutraliza a maior parte do valor de uma credencial vazada, mesmo que a senha já esteja em poder do criminoso.
- 4
Cace uso indevido das credenciais
Revise logs de login das contas afetadas em busca de acessos de IPs, países ou horários atípicos, novos dispositivos, regras de encaminhamento de e-mail criadas sem autorização e tokens de API recém-gerados. Encerre toda sessão suspeita e revogue acessos de terceiros que você não reconhece.
- 5
Preserve as evidências antes de limpar
Antes de apagar e-mails maliciosos, regras ou logs, preserve cópias com data e hora. Essas evidências sustentam a investigação forense, a notificação à ANPD e eventual Boletim de Ocorrência. Registre desde já o momento exato em que você tomou ciência do incidente.
- 6
Avalie a obrigação de notificar (dados pessoais)
Se o vazamento inclui dados pessoais de clientes ou funcionários com risco ou dano relevante aos titulares, a LGPD e a Resolução CD/ANPD nº 15/2024 exigem notificação à ANPD em até 3 dias úteis a contar da ciência, além da comunicação aos titulares afetados. Documente data e hora da descoberta para sustentar o prazo.
- 7
Acione a Resposta a Incidentes 24/7 se houver atividade ativa
Se você já vê fraude, acesso não autorizado, e-mails saindo em seu nome ou movimentação financeira indevida, isto é um incidente ativo. Acione a Resposta a Incidentes 24/7 da Decripte em https://decripte.io/contato: o SOC atua com contenção em até 1 hora e conduz a investigação forense preservando evidências.
- 8
Estabeleça monitoramento contínuo
Vazamentos não são eventos pontuais: novas combinações de credenciais reaparecem por meses. Mantenha o monitoramento contínuo de dark web e exposição de domínio ativo (o plano gratuito de Gestão de Ameaças faz isso) para ser avisado de reaparições antes que virem fraude.
O que NÃO fazer
- ✕Não pague o criminoso por uma amostra nem para que ele apague os dados: não há garantia de cumprimento, você financia novos ataques e pode estar cometendo um ilícito.
- ✕Não acesse fóruns ou marketplaces da dark web por conta própria: além do risco jurídico, você se expõe a malware e pode alertar o atacante de que foi notado.
- ✕Não troque só a senha que vazou e ignore a reutilização: a mesma senha em outras contas mantém todas elas abertas para o atacante.
- ✕Não confie só em MFA por SMS para contas críticas: SIM swap e interceptação tornam o SMS o elo fraco; prefira app autenticador ou chave física.
- ✕Não apague logs, e-mails suspeitos ou evidências antes de preservar: você pode destruir a prova necessária para a investigação e para sustentar a notificação à ANPD.
- ✕Não deixe a notificação à ANPD para depois sem registrar a data da ciência: o prazo de 3 dias úteis corre a partir do momento em que você toma conhecimento do incidente.
Primeiro: confirme se o vazamento é real e qual o seu tamanho
Antes de entrar em pânico ou de gastar energia rotacionando coisas erradas, você precisa saber o que de fato vazou. Anúncios na dark web misturam dados reais, dados antigos reaproveitados e blefe puro para extorquir. A pior reação é acessar o anúncio, pedir amostra ou negociar: isso te expõe juridicamente, pode infectar sua máquina e sinaliza ao criminoso que ele acertou um alvo nervoso.
A forma correta e legal de confirmar o escopo é cruzar o seu domínio e os e-mails da empresa com bases de vazamento e fontes de dark web já coletadas por quem faz isso de forma controlada. O plano gratuito de Gestão de Ameaças da Decripte (Decripte Intelligence Center) em https://decripte.io/free faz exatamente isso: escaneia exposição de credenciais, presença na dark web e reputação do seu domínio, sem cartão de crédito e sem exigir equipe técnica. Em minutos você sai do boato para uma lista concreta de contas a tratar.
Com o escopo em mãos, você prioriza: contas com poder administrativo, e-mail corporativo, acessos financeiros e de nuvem vêm primeiro. Esse mapa é o que transforma uma reação caótica em um plano de contenção focado.
Contenção: cortar o acesso do atacante antes da erradicação
Contenção, no modelo de resposta a incidentes do NIST, é estancar o sangramento antes de limpar a ferida. Na prática, com credenciais vazadas isso significa três movimentos simultâneos: forçar reset de senha de todas as contas afetadas, invalidar sessões e tokens ativos (uma senha nova não expulsa quem já está logado) e ativar MFA onde ainda não havia.
A reutilização de senha é o multiplicador do estrago. Se a senha do e-mail de um funcionário vazou e ele usava a mesma no painel da nuvem e no banco, você tem três incidentes, não um. Por isso o reset não pode ser cirúrgico demais: trate como comprometida qualquer conta que compartilhe credencial com algo que apareceu no scan. Revogue também chaves de API e tokens de integração, que muitas vezes ficam esquecidos e dão acesso silencioso.
Se ao revisar os acessos você encontrar sinais de uso ativo, como regras de encaminhamento criadas pelo atacante, logins estrangeiros ou movimentação financeira, pare de improvisar e acione a Resposta a Incidentes 24/7 da Decripte em https://decripte.io/contato. O SOC opera com SLA de contenção de até 1 hora e conduz a investigação preservando as evidências.
Cada minuto conta. Comece o diagnóstico gratuito agora e veja o que já vazou.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Caça ao uso indevido e erradicação
Trocar senhas não basta se o atacante já criou meios de voltar. A fase de erradicação consiste em remover esses pontos de persistência: regras de encaminhamento e filtros de e-mail maliciosos, aplicativos OAuth conectados sem autorização, novos usuários administrativos, chaves de acesso adicionadas em nuvem e dispositivos confiáveis que você não reconhece.
Vasculhe os logs de autenticação das contas comprometidas procurando o padrão do invasor: de onde ele logou, o que acessou, o que exfiltrou. Esse trabalho responde a perguntas que você vai precisar para a notificação legal e para os clientes: quais dados foram realmente expostos e por quanto tempo. Documentar com data e hora é parte do processo, não burocracia.
Quando houver indício de que dados foram efetivamente acessados ou copiados, e não apenas que credenciais vazaram, a investigação forense ganha peso jurídico. É aqui que a experiência de uma equipe que já respondeu a incidentes em fintechs, exchanges e e-commerces encurta o caminho entre o caos e uma resposta defensável.
Recuperação, notificação e monitoramento contínuo
Recuperar é voltar à operação normal com a certeza de que o atacante foi expulso: senhas trocadas, MFA universal, persistências removidas e monitoramento ativo para flagrar uma reincidência. Antes de declarar o incidente encerrado, confirme que não há mais sessões abertas suspeitas nem novas credenciais suas circulando.
Se houver dados pessoais envolvidos, a dimensão jurídica não pode ser ignorada. A Resolução CD/ANPD nº 15/2024 determina a comunicação de incidentes de segurança à ANPD em até 3 dias úteis a contar da ciência, quando houver risco ou dano relevante aos titulares, além da comunicação aos próprios titulares afetados. O prazo corre do momento em que você descobre, por isso registrar a data da ciência logo no início é decisivo. Se a exposição derivar em fraude financeira, principalmente em pagamentos via Pix, contate o banco de imediato para acionar o MED (Mecanismo Especial de Devolução), cuja janela é curta, e registre Boletim de Ocorrência.
Por fim, trate o monitoramento como permanente. Combinações de credenciais vazadas reaparecem em novos pacotes por meses e dão origem a fraudes muito depois do anúncio inicial. Manter o plano gratuito de Gestão de Ameaças da Decripte ativo em https://decripte.io/free garante que você seja avisado quando algo seu reaparecer, antes que vire o próximo incidente. Essa é a lição aprendida que separa quem apaga incêndio de quem deixa de ter incêndio.
Obrigações legais (Brasil)
Se o vazamento envolver dados pessoais com risco ou dano relevante aos titulares, a Resolução CD/ANPD nº 15/2024 exige notificação à ANPD em até 3 dias úteis a contar da ciência do incidente, além da comunicação aos titulares afetados; registre desde já a data e hora da descoberta. Se houver fraude financeira associada, nos pagamentos via Pix existe o MED (Mecanismo Especial de Devolução), com janela curta, então contate o banco imediatamente e registre Boletim de Ocorrência. Esta orientação é informativa e não substitui aconselhamento jurídico especializado.
Termos importantes
- Vazamento de credenciais
- Exposição de combinações de usuário e senha (e às vezes outros dados) que passam a circular em vazamentos, listas de combos e marketplaces da dark web, permitindo que terceiros tentem acessar suas contas.
- Dark web
- Camada da internet acessível apenas por redes de anonimato, onde também operam fóruns e marketplaces que comercializam dados vazados e acessos. Não deve ser acessada por conta própria durante um incidente.
- MFA (autenticação multifator)
- Camada extra de verificação além da senha, como um código de aplicativo autenticador ou uma chave física. Mesmo que a senha vaze, sem o segundo fator o atacante não entra; por isso é a defesa mais eficaz contra credenciais vazadas.
- Rotação de credenciais
- Processo de trocar senhas, chaves e tokens potencialmente comprometidos, invalidando os antigos. Inclui forçar reset em massa e encerrar sessões ativas, já que uma senha nova não desconecta quem já está logado.
- Notificação à ANPD
- Obrigação prevista na LGPD e detalhada na Resolução CD/ANPD nº 15/2024 de comunicar à Autoridade Nacional de Proteção de Dados, em até 3 dias úteis a contar da ciência, incidentes de segurança com dados pessoais que tragam risco ou dano relevante aos titulares, comunicando também os afetados.
- Resposta a Incidentes (RI)
- Atuação especializada para conter, investigar e erradicar um ataque ativo. A Decripte opera Resposta a Incidentes 24/7 com SOC e SLA de contenção de até 1 hora, seguindo o ciclo do NIST: preparação, detecção, contenção, erradicação, recuperação e lições aprendidas.
Perguntas frequentes
Como saber se meus dados realmente estão à venda na dark web sem acessar fórum de criminoso?
Você não precisa, e não deve, acessar a dark web por conta própria. Use um serviço que já coleta esses dados de forma controlada e cruza com o seu domínio. O plano gratuito de Gestão de Ameaças da Decripte em https://decripte.io/free escaneia exposição de credenciais, presença na dark web e reputação do seu domínio sem cartão de crédito, mostrando quais contas da sua empresa apareceram em vazamentos.
Devo pagar o criminoso para ele não vender ou para apagar os dados?
Não. Não há garantia de que ele cumpra; é comum vender mesmo após o pagamento ou voltar a extorquir. Pagar financia novos ataques e pode configurar ilícito. O caminho certo é confirmar o escopo, conter os acessos rotacionando credenciais e ativando MFA, e tratar o incidente tecnicamente em vez de negociar.
Vazou a senha de um e-mail. Basta trocar essa senha?
Não basta. Se essa senha foi reutilizada em outras contas, todas estão comprometidas. Troque a senha vazada, troque em qualquer lugar onde ela tenha sido reutilizada, invalide as sessões ativas (uma senha nova não desconecta quem já está logado) e ative MFA. Depois, verifique se o atacante criou regras de encaminhamento ou novos acessos.
Preciso notificar a ANPD por um vazamento de credenciais?
Se as credenciais ou dados expostos envolvem dados pessoais e há risco ou dano relevante aos titulares, sim. A Resolução CD/ANPD nº 15/2024 prevê notificação à ANPD em até 3 dias úteis a contar da ciência do incidente, além de comunicar os titulares afetados. Registre a data e hora em que você descobriu o vazamento, pois é dela que o prazo começa a correr.
Qual a diferença entre o plano gratuito de Gestão de Ameaças e acionar a Resposta a Incidentes?
O plano gratuito de Gestão de Ameaças (https://decripte.io/free) serve para diagnóstico e prevenção contínua: ele mostra a exposição de credenciais, dark web e reputação de domínio. A Resposta a Incidentes 24/7 (https://decripte.io/contato) é para quando há um ataque ativo em andamento, com SOC e contenção em até 1 hora e investigação forense. No seu caso, comece pelo gratuito para confirmar o escopo e acione a RI se encontrar uso indevido.
MFA por SMS é suficiente para proteger as contas afetadas?
É melhor que nada, mas não é o ideal para contas críticas. SMS é vulnerável a SIM swap e interceptação. Para e-mail corporativo, VPN, painéis de nuvem e acessos financeiros, prefira um aplicativo autenticador ou, melhor ainda, uma chave de segurança física. Reserve o SMS apenas para contas de baixo risco quando não houver alternativa.
Como descobrir se o atacante já está usando as credenciais que vazaram?
Revise os logs de autenticação das contas afetadas procurando logins de IPs, países ou horários incomuns, novos dispositivos confiáveis, regras de encaminhamento de e-mail que ninguém criou e tokens de API recém-gerados. Qualquer um desses é sinal de uso ativo. Encerre as sessões suspeitas, revogue os acessos e, se confirmar atividade, acione a Resposta a Incidentes da Decripte em https://decripte.io/contato.
O vazamento foi há meses. Ainda preciso me preocupar?
Sim. Pacotes de credenciais são revendidos e recombinados por muito tempo, e fraudes costumam acontecer bem depois do vazamento original. Mesmo que você já tenha trocado senhas, mantenha o monitoramento contínuo ativo para ser avisado se suas credenciais reaparecerem em novos lotes. O plano gratuito de Gestão de Ameaças cobre essa vigilância sem custo.
Incidente em andamento?
Comece agora pelo diagnóstico gratuito — e ative SOC 24/7 e resposta a incidentes nos planos pagos.
Veja em minutos o que já vazou da sua empresa. Quando precisar, a Decripte assume a contenção, a investigação forense e a recuperação do ambiente com SLA de contenção de 1 hora.