Have I been pwned? Use OSINT profissional para descobrir se houve vazamento de dados da sua equipe

Você já verificou se os dados dos seus funcionários estão circulando na dark web? O site Have I Been Pwned já indexou mais de 12 bilhões de registros vazados de 934 sites comprometidos (Troy Hunt, 2025).  Portanto, as chances de que houve vazamento de dados das credenciais da sua empresa estejam expostas são muito altas.

Além disso, muitas empresas ainda acreditam que o MFA (autenticação multifator) resolve todos os problemas. 

Contudo, criminosos usam deepfakes e phishing avançado para burlar essa proteção. 

Com isso, sua identidade digital corporativa pode estar mais vulnerável do que você imagina.

O que é o Have I Been Pwned e por que ele não é suficiente

O Have I Been Pwned (HIBP) é uma ferramenta gratuita criada pelo especialista em segurança Troy Hunt em 2013.

Ela permite verificar se um e-mail foi comprometido em algum vazamento de dados conhecido (Wikipedia, 2025).

No entanto, essa ferramenta possui limitações importantes:

• Verifica apenas e-mails individuais, não domínios corporativos completos
• Não monitora a dark web em tempo real
• Não detecta credenciais sendo negociadas em fóruns fechados
• Não oferece alertas automáticos para novas exposições

Diante disso, empresas precisam de uma solução mais robusta. O OSINT (Open Source Intelligence) profissional vai muito além do que ferramentas gratuitas podem oferecer.

O perigo real: suas credenciais vazadas na dark web

De acordo com o CrowdStrike Threat Hunting Report 2024, 62% das detecções de ameaças não envolvem malware tradicional. 

Criminosos preferem usar credenciais roubadas (CrowdStrike, 2024).

Os dados vazados dos seus funcionários podem incluir:

• Senhas de e-mail corporativo e VPN
• Informações pessoais identificáveis (PII)
• Tokens de sessão e cookies de autenticação

O custo médio de uma violação de dados atingiu 4,88 milhões de dólares em 2024, segundo a IBM.

OSINT profissional: a auditoria que sua empresa precisa

O OSINT corporativo monitora continuamente diversas fontes para identificar exposições. Um serviço profissional consegue:

• Varrer fóruns da dark web e marketplaces clandestinos
• Monitorar vazamentos em tempo real
• Detectar credenciais em logs de malware info-stealer
• Alertar sobre domínios falsos criados para phishing

Portanto, realizar uma auditoria de exposição é o primeiro passo antes de qualquer teste de invasão.

O mito da autenticação forte: como deepfakes e phishing burlam seu MFA

Muitas empresas acreditam que MFA resolve o problema de segurança. Contudo, dados mostram uma realidade preocupante.

Segundo a Cisco Talos de 2024, incidentes de MFA estavam em quase metade dos casos de segurança.

Em 25% dos casos, usuários aceitaram notificações fraudulentas (Cisco Talos, 2024).

Além disso, ataques usando deepfakes cresceram 300% em 2024 (iProov). Criminosos usam IA para criar vídeos e áudios falsos em tempo real.

Técnicas de MFA bypass mais usadas

MFA Fatigue: Atacantes enviam múltiplas solicitações até o usuário aprovar por cansaço.

Adversary-in-the-Middle: Criminosos interceptam comunicações e capturam tokens de sessão.

SIM Swapping: Golpistas convencem operadoras a transferir números de telefone.

Deepfake em videochamadas: Criminosos clonaram a voz de um CEO para enganar funcionários da WPP (Astra Security, 2025).

A conexão entre vazamentos e ataques de identidade digital

Quando credenciais corporativas vazam, elas alimentam uma cadeia de ataques sofisticados. Criminosos usam essas informações para reconhecimento e desenvolvem ataques personalizados.

O ISACA destacou que sistemas biométricos também estão vulneráveis a deepfakes (ISACA, 2024).

Portanto, o teste de phishing da RESH simula esses ataques para avaliar a vulnerabilidade real da sua equipe.

LGPD e as consequências de vazamentos de dados

A LGPD estabelece penalidades severas para empresas que não protegem dados pessoais. As multas podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração (ANPD, 2024).

Um projeto de lei propõe aumentar essa multa para até 4% do faturamento, alinhando com o GDPR europeu.

Diante disso, monitorar a exposição de dados não é apenas uma boa prática. É uma obrigação legal.

Por que o pentest de identidade digital é essencial

Ferramentas de monitoramento mostram o que está exposto. Contudo, apenas um pentest comprova como criminosos podem explorar essas vulnerabilidades.

O Red Team da RESH simula ataques usando credenciais vazadas, técnicas de bypass de MFA e engenharia social baseada em dados reais.

Assim, você descobre não apenas o que está exposto, mas como um atacante usaria essas informações.

Próximos passos para proteger sua empresa

A proteção de dados começa com visibilidade. Recomendamos:

1. Realize uma auditoria OSINT para mapear a exposição atual
2. Monitore continuamente a dark web por novas exposições
3. Execute um pentest de identidade digital
4. Implemente controles baseados nas vulnerabilidades descobertas
5. Treine sua equipe contra engenharia social

A RESH oferece serviços de OSINT e pentest para ajudar sua empresa a descobrir vulnerabilidades antes dos criminosos.

Fontes

• Hunt, Troy. “2 Billion Email Addresses Were Exposed, and We Indexed Them All in Have I Been Pwned.” TroyHunt.com, 2025. Disponível em: https://www.troyhunt.com/2-billion-email-addresses-were-exposed-and-we-indexed-them-all-in-have-i-been-pwned/
  
• Have I Been Pwned. Wikipedia, 2025. Disponível em: https://en.wikipedia.org/wiki/Have_I_Been_Pwned
  
• Cisco Talos Intelligence Group. “How Are Attackers Trying to Bypass MFA?” Cisco Talos Blog, 2024. Disponível em: https://blog.talosintelligence.com/how-are-attackers-trying-to-bypass-mfa/
  
• iProov. “Deepfake Cyberattacks Proliferated in 2024.” The Register, 2025. Disponível em: https://www.theregister.com/2025/03/04/faceswapping_scams_2024/
  
• ISACA. “Examining Authentication in the Deepfake Era.” ISACA White Papers, 2024. Disponível em: https://www.isaca.org/resources/white-papers/2024/examining-authentication-in-the-deepfake-era
  
• CrowdStrike. “Dark Web Monitoring.” CrowdStrike Cybersecurity 101, 2025. Disponível em: https://www.crowdstrike.com/en-us/cybersecurity-101/threat-intelligence/dark-web-monitoring/
  
• IBM. “Cost of a Data Breach Report 2024.” Citado em Breachsense, 2024. Disponível em: https://www.breachsense.com/
  
• Astra Security. “MFA Bypass Risks: What You Need to Know in 2025.” Astra Blog, 2025. Disponível em: https://www.getastra.com/blog/dast/mfa-bypass-risks/
  
• Portal IFBA. “Penalidades Previstas pelo Descumprimento da LGPD.” LGPD IFBA, 2024. Disponível em: https://portal.ifba.edu.br/lgpd/penalidades
  

Perguntas frequentes

O que significa “pwned” no Have I Been Pwned?

O termo “pwned” vem da cultura de videogames e significa “comprometido” ou “hackeado”. Quando seus dados aparecem no site, significa que foram expostos em algum vazamento.

OSINT é legal?

Sim, OSINT utiliza apenas fontes de informação publicamente disponíveis. É uma prática legítima e amplamente usada por empresas de segurança e forças de lei.

O MFA ainda é útil se pode ser burlado?

Sim, o MFA continua sendo uma camada importante de proteção. Contudo, não deve ser sua única defesa. Combine com monitoramento de credenciais e treinamento de funcionários.

Com que frequência devo verificar se houve vazamentos?

O monitoramento deve ser contínuo. Novos vazamentos ocorrem diariamente, e quanto mais rápido você souber, menor será o impacto.

O que fazer se descobrir que credenciais da minha empresa vazaram?

Altere imediatamente as senhas afetadas, revogue tokens de sessão, implemente MFA mais robusto e realize um pentest para avaliar o impacto real.