Nas últimas semanas, foi identificado um suposto vazamento de cerca de 183 milhões de contas do Gmail, Outlook e Yahoo. O site Have I Been Pwned, que monitora diversos tipos de vazamentos de dados na internet, divulgou as informações. Com isso, dados sensíveis como endereços de e-mail e senhas dos usuários destas plataformas ficaram visíveis na internet.
Não é a primeira vez que se fala de vazamento de dados recentemente. Em março, o Banco Central (BC) informou que a QI Sociedade de Crédito vazou dados pessoais vinculados a 25.349 chaves PIX de seus clientes. Entre as informações estavam nome, CPF com máscara, banco de relacionamento, agência, número e tipo de conta dos usuários.
Em 2024, o Instituto Nacional do Seguro Social (INSS) confirmou a exposição de dados cadastrais de aposentados e pensionistas. Segundo a organização, o vazamento ocorreu devido a acessos indevidos feitos por ex-servidores públicos de outros órgãos que mantinham os logins ativos, mesmo não ocupando mais os cargos. O incidente afetou cerca de 40 milhões de segurados.
O que o gmail, yahoo e outlook tem a dizer?
Ao ser procurada pela Análise Editorial, o Google disse que os relatos do suposto vazamento de dados ou violação de segurança das contas são imprecisos e incorretos. A empresa somente detém as credenciais das vítimas infectadas com malware. Além disso, o Google é um provedor de e-mail dominante por conta de sua vinculação automática aos dispositivos Android. O próprio fundador e CEO do site Have I Been Pwned, Troy Hunt, esclareceu as informações em seu perfil pessoal no X.
"Eles [os relatos] decorrem de uma interpretação equivocada das atualizações contínuas em bancos de dados de roubo de credenciais, conhecidos como Infostealers, em que os invasores utilizam diversas ferramentas para coletar credenciais, ao invés de um ataque único e específico direcionado a uma pessoa, ferramenta ou plataforma específica.", declarou o Google.
A Análise Editorial também procurou a Microsoft, dona do Outlook, e o Yahoo, mas até o momento do fechamento desta matéria, não obteve resposta.
Como diminuir o risco de vazamentos?
Na visão de Patricia Peck, CEO do Peck Advogados, além de Mais Admirada na especialidade digital no anuário ANÁLISE ADVOCACIA, é possível reduzir o risco de vazamento com uma abordagem em 3 níveis: tecnologia (ferramentas protetivas), governança (políticas) e pessoas (cultura). As seguintes políticas são as que devem ganhar mais destaque na visão de Peck:
- Política de Segurança da Informação e Cibersegurança: Definição de padrões técnicos (criptografia, autenticação multifator, segurança de rede) e uso aceitável de ativos como dispositivos ou e-mails.
- Política de uso de IA (Geral e Generativa): Definição do que é permitido (DO’s) e proibido (DON’T’s) ao usar IA no ambiente de trabalho. Com isso, é possível focar em evitar a inserção de dados confidenciais/pessoais em prompts de ferramentas públicas.
- Política de Retenção e Descarte de Dados: Basicamente é a definição do ciclo de vida dos dados. Dessa forma, é possível garantir o descarte de forma segura após o cumprimento da finalidade legal ou contratual, evitando que a empresa acumule dados.
Dentro das práticas de governança digital, Peck adverte que é essencial prever alguns fatores, como:
- Comitê de Dados Pessoais/Privacidade: Estrutura multidisciplinar que delibera e supervisiona os riscos, e garante que as decisões de privacidade sejam estratégicas.
- Programa Contínuo de Conscientização: Treinamentos periódicos de Cultura de Segurança para transformar o colaborador em uma linha de defesa ativa contra a ameaça negligente.
- Princípio do Menor Privilégio (Least Privilege): Prática de conceder a cada colaborador apenas o acesso estritamente necessário para sua função. Com isso, é possível minimizar o dano em caso de vazamento ou acesso não autorizado.
- Auditoria e Vulnerability Assessment: Realização periódica de testes de intrusão, vulnerability assessment e auditorias de vieses em IA para identificar e corrigir falhas de segurança de forma proativa.
As brechas na proteção
Segundo dados do ESET Security Report (ESR), publicado em julho de 2025, 27% das empresas na América Latina afirmaram ter sofrido ciberataques em 2024. Um quarto das organizações brasileiras relatou ter sofrido esse tipo de ataque. Contudo, 32% das empresas latino-americanas ainda não utilizam ferramentas capazes de confirmar se sofreram ou não ataques.
Para Luciano Malara (sócio-fundador e diretor na Missão Compliance Consultoria Ltda., e eleito Mais Admirado na especialidade digital pelo anuário ANÁLISE ADVOCACIA), esse tipo de negligência na gestão e atualização de medidas legais e tecnológicas facilita o vazamento de dados sensíveis nas empresas.
O sócio afirma que os erros mais vistos estão ligados a negligência em relação não só à implementação, mas à gestão e à manutenção das condições especificadas pela LGPD. Também entram nesse cálculo as diretrizes apontadas pela Autoridade Nacional.
Papel do jurídico no vazamento de dados
Toda empresa atualmente lida com dados sensíveis, sejam de colaboradores, clientes ou até mesmo de projetos internos. Diante desse cenário, os departamentos jurídicos desempenham um papel crucial para a proteção desses dados. Na visão de Patricia Peck, o departamento jurídico é responsável por atuar de forma preventiva e reativa. Esse setor, para a Peck, deve manter as políticas atualizadas conforme orientações da Agência Nacional de Proteção de Dados (ANPD) e revisar contratos com cláusulas de segurança. Além disso, o departamento também deve orientar novos projetos para coleta mínima de dados e apoiar a gestão de crises, avaliando riscos legais e comunicações.
No pós-crise, o jurídico também contribui para a atuação administrativa, participando de comitês com agendas periódicas, segundo Peck. Dessa forma, o departamento atua tanto no preventivo quanto no reativo, apresentando as medidas corretivas adotadas, além de atuar na defesa do contencioso em ações de indenização.
LGPD como aliada
Segundo o levantamento da NordVPN, serviço de Virtual Private Network - VPN, o Brasil lidera o ranking mundial de vazamentos de dados, com mais de 7 bilhões de cookies expostos na dark web. O Brasil supera países como Índia, Indonésia e EUA. A empresa ainda revela que o volume de informações vazadas no país, em somente um ano, cresceu 250%, incluindo informações como e-mails, senhas e localizações. Diante desse cenário, a Lei Geral de Proteção de Dados (LGPD) surge então como aliada importante para prevenir esse tipo de vazamento.
Luciano Malara afirma que, ao realizar a busca e a proteção de dados com base na LGPD, a organização pode mapear seus dados de forma macro. Com isso, certamente é possível identificar fragilidades e resolvê-las, além de implementar processos de backup e recuperação, ajudando a mitigar os impactos de um vazamento.
"Ainda que as contas corporativas tenham sido vazadas, as proteções que as empresas devem ter implementado já ajudariam a atenuar os impactos de um vazamento como esse. A questão agora é saber se todo mundo estava devidamente adequado e atualizado em relação às diretrizes da LGPD. Mas quem estava, já teve com certeza um impacto menor", conclui Luciano.