O que é uma violação de dados?

Os termos “violação de dados” e “invasão” são frequentemente usados como sinônimos de “ataque cibernético”. No entanto, nem todo ataque cibernético é uma violação de dados. As violações de dados incluem somente as violações de segurança nas quais alguém obtém acesso não autorizado a dados.

Por exemplo, um ataque de distributed denial-of-service (DDoS) que sobrecarrega um site não é uma violação de dados. Um ataque de ransomware que bloqueia os dados dos clientes de uma empresa e ameaça vazar os dados roubados, a menos que a empresa pague um resgate, é uma violação de dados. O roubo físico de discos rígidos, pen drives USB ou até mesmo arquivos em papel contendo informações confidenciais também é uma violação de dados.

De acordo com o relatório do Custo das violações de dados de 2025 da IBM , o custo médio global de uma violação de dados é de US$ 4,44 milhões. Embora organizações de todos os tamanhos e tipos sejam vulneráveis a violações, a gravidade dessas violações e seus custos de remediação podem variar.

Por exemplo, o custo médio de uma violação de dados nos Estados Unidos é de US$ 10,22 milhões, cerca de quatro vezes o custo de uma violação na Índia (US$ 2,51 milhões).

As consequências das violações tendem a ser particularmente severas para organizações de setores altamente regulados, como saúde, finanças e setor público, onde multas pesadas e penalidades podem aumentar os custos. Por exemplo, de acordo com o relatório da IBM, o custo médio de uma violação de dados de saúde em 2025 é de US$ 7,42 milhões, o custo médio de violação mais alto entre os setores pelo 14º ano consecutivo.

Os custos das violações de dados surgem de vários fatores, com o relatório da IBM destacando quatro principais: perda de negócios, detecção e escalonamento, resposta e notificação pós-violação.

A perda de negócios, receita e clientes resultante de uma violação custa às organizações USD 1,38 milhão, em média. O preço de detectar e escalar a violação é ainda maior, de US$ 1,47 milhão. As despesas pós-violação, incluindo multas, acordos, honorários legais, fornecimento de monitoramento de crédito gratuito aos clientes afetados e despesas semelhantes, custam à vítima média de uma violação US$ 1,20 milhão.

Os custos de notificação, que incluem a comunicação de violações a clientes, reguladores e outros terceiros, são os mais baixos, de US$ 390.000. No entanto, os requisitos de notificação ainda podem ser onerosos e demorados.

• A Lei de notificação de incidentes cibernéticos para infraestruturas críticas dos EUA de 2022 (CIRCIA) exige que organizações dos setores de segurança nacional, financeiro e outros setores designados relatem incidentes cibernéticos que afetem dados pessoais ou operações comerciais ao Departamento de Segurança Interna dentro de 72 horas.
  
  

• Organizações dos EUA sujeitas à Lei de portabilidade e responsabilidade de planos de saúde (HIPAA) devem notificar o Departamento de Saúde e Serviços Humanos dos EUA, as pessoas afetadas e, em alguns casos, a mídia, se houver violação de informações de saúde protegidas.
  
  

• Todos os 50 estados dos EUA também têm suas próprias leis de notificação de violação de dados.
  
  

• O Regulamento Geral sobre a Proteção de Dados (GDPR) exige que as empresas que fazem negócios com cidadãos da UE notifiquem as autoridades sobre violações dentro de 72 horas.
  

As violações de dados são causadas por:

• Erros inocentes, como um funcionário enviar informações confidenciais para a pessoa errada por e-mail.
  
   

• Agentes internos maliciosos, incluindo funcionários irritados ou demitidos que querem prejudicar a empresa ou causar danos à reputação, e funcionários gananciosos que querem lucrar com os dados da empresa.
   

• Hackers, agentes externos maliciosos que cometem crimes cibernéticos intencionais para roubar dados. Hackers podem agir sozinhos ou como parte de um grupo organizado.

O ganho financeiro é a principal motivação para a maioria das violações maliciosas de dados. Os Hackers roubam números de cartão de crédito, contas bancárias ou outras informações financeiras para retirar fundos diretamente das pessoas e empresas.

Alguns invasores roubam informação de identificação pessoal (PII) (como números da previdência social e números de telefone) para roubar identidades, contrair empréstimos e contratar cartões de crédito em nome de suas vítimas. Os cibercriminosos também podem vender PII e informações de contas na dark web, onde podem obter até US$ 500 por credenciais de login bancário.

Uma violação de dados também pode ser a primeira fase de um ataque maior. Por exemplo, hackers podem roubar senhas de contas de e-mail de executivos corporativos e usar essas contas para realizar golpes de comprometimento de e-mails comerciais.

As violações de dados podem ter outros objetivos além do enriquecimento pessoal. Organizações sem escrúpulos podem roubar segredos comerciais dos concorrentes e intervenientes estatais podem violar os sistemas do governo para roubar informações sobre negociações políticas confidenciais, operações militares ou infraestrutura nacional.

A maioria das violações de dados intencionais causadas por agentes de ameaça internos ou externos segue o mesmo padrão básico:

1.  Pesquisa: o agente da ameaça identifica um alvo e procura pontos fracos que ele possa usar para invadir o sistema do alvo. Esses pontos fracos podem ser técnicos, como controles de segurança inadequados, ou humanos, como funcionários suscetíveis à engenharia social.
   
   
2. Ataque: o agente de ameaça inicia um ataque ao alvo usando o método escolhido. O atacante pode enviar um e-mail de spear phishing, explorar diretamente vulnerabilidades no sistema, usar credenciais de login roubadas para assumir uma conta ou recorrer a outros vetores comuns de ataque em violações de dados.
   
   
3. Comprometimento de dados: dentro do sistema, o atacante localiza os dados desejados e executa sua ação. Táticas comuns incluem exfiltração de dados para venda ou uso, destruição dos dados ou bloqueio dos dados para exigir um resgate.
   

Agentes maliciosos podem usar vários vetores de ataques ou métodos para realizar violações de dados. Alguns dos mais comuns incluem:

A violação sofrida pela TJX Corporation (controladora das redes TJ Maxx e Marshalls) em 2007 foi, à época, a maior e mais cara violação de dados de consumidores da história dos EUA. A privacidade de dados de aproximadamente 94 milhões de clientes foi comprometida, e a empresa sofreu mais de US$ 256 milhões em perdas financeiras.

Os hackers obtiveram acesso aos dados instalando sniffers de tráfego nas redes sem fio de duas lojas. Os sniffers permitiram que os hackers capturassem informações à medida que eram transmitidas das caixas registradoras da loja para os sistemas de back-end.

Em 2013, o Yahoo sofreu o que pode ter sido a maior violação de dados da história. Hackers exploraram uma falha no sistema de cookies da empresa para acessar os nomes, datas de nascimento, endereços de e-mail e senhas de todos os 3 bilhões de usuários da plataforma.

A gravidade total da violação foi revelada em 2016, quando a Verizon estava em negociações para comprar a empresa. Como resultado, a Verizon reduziu sua oferta de aquisição em US$ 350 milhões.

Em 2017, hackers invadiram a agência de crédito Equifax e acessaram os dados pessoais de mais de 143 milhões de norte-americanos.

Os hackers exploraram uma vulnerabilidade não corrigida no site da Equifax para obter acesso à rede. Os hackers então se deslocaram lateralmente para outros servidores para encontrar números da Segurança Social, números da carteira de motorista e números de cartão de crédito. O ataque custou à Equifax US$ 1,4 bilhão entre liquidações, multas e outros custos associados à reparação da violação.

Em 2020, os agentes de ameaças russos executaram um ataque à cadeia de suprimentos atacando o fornecedor de software SolarWinds. Os hackers usaram a plataforma de monitoramento de rede da organização, Orion, para distribuir secretamente malware para os clientes da SolarWinds.

Espiões russos obtiveram acesso a informações confidenciais de várias agências governamentais dos EUA, incluindo os Departamentos do Tesouro, Justiça e Estado, que utilizavam os serviços da SolarWinds.

Em 2021, hackers infectaram os sistemas da Colonial Pipeline com ransomware, forçando a empresa a interromper temporariamente o funcionamento do oleoduto que abastece 45% do combustível da Costa Leste dos EUA.

Os hackers conseguiram acesso à rede usando uma senha de funcionário que encontraram na dark web. A Colonial Pipeline Company pagou um resgate de US$ 4,4 milhões em criptomoedas, mas a polícia federal recuperou cerca de USD 2,3 milhões desse pagamento.

No outono de 2023, hackers roubaram os dados de 6,9 milhões de usuários da 23andMe. A violação foi notável por alguns motivos. Primeiro, como a 23andMe realiza testes genéticos, os invasores obtiveram informações extremamente pessoais, como árvores genealógicas e dados de DNA.

Em segundo lugar, os hackers violaram contas de usuários por meio de uma técnica chamada "preenchimento de credenciais." Nesse tipo de ataque, os hackers usam credenciais expostas em vazamentos anteriores de outras fontes para invadir as contas não relacionadas dos usuários em diferentes plataformas. Esses ataques funcionam porque muitas pessoas reutilizam o mesmo nome de usuário e senha em vários sites.

De acordo com o relatório Custo das violações de dados de 2025, leva-se uma média de 241 dias para identificar e conter uma violação ativa em todos os setores. Implementar as soluções de segurança adequadas pode ajudar as organizações a detectar e responder mais rapidamente a essas violações.

Medidas padrão de gerenciamento de riscos, como avaliações de vulnerabilidades, backup programados, patches oportunos e configurações adequadas de bancos de dados, podem ajudar a evitar algumas violações e amenizar o impacto das que ocorrem.

No entanto, muitas organizações hoje implementam controles mais avançados e melhores práticas para impedir mais violações e mitigar significativamente os danos que elas causam.

As organizações podem implementar soluções especializadas de segurança de dados para descobrir e classificar automaticamente dados confidenciais, aplicar criptografia e outras proteções e obter insight em tempo real sobre o uso de dados.

As organizações podem mitigar os danos causados por violações adotando planos formais de resposta a incidentes para detectar, conter e erradicar ameaças cibernéticas. De acordo com o relatório Custo das violações de dados de 2025, a terceira área mais popular de investimento em segurança para 2025 foi o planejamento e testes de IR, para 35% de todos os entrevistados.

As organizações que integram amplamente a inteligência artificial (IA) e a automação às operações de segurança resolvem as violações 80 dias mais rápido do que aquelas que não o fazem, de acordo com o relatório Custo das violações de dados de 2025 . O relatório também descobriu que a IA e a automação de segurança reduzem o custo de uma violação média em US$ 1,9 milhão, ou uma economia de mais de 34% (em comparação com organizações que não usam IA e automação de segurança).

Muitas ferramentas de segurança de dados, prevenção contra perda de dados e gerenciamento de acesso e identidade agora incorporam IA e automação.

Como ataques de engenharia social e phishing são causas principais de violações, treinar funcionários para reconhecer e evitar esses ataques pode reduzir o risco de uma empresa sofrer uma violação de dados. Além disso, treinar os funcionários para lidar corretamente com dados pode ajudar a prevenir violações e violações acidentais de dados.

Psssword managers, autenticação de dois fatores (2FA) ou autenticação multifator (MFA), logon único (SSO) e outras ferramentas de gerenciamento de acesso e identidade (IAM) podem proteger contas de funcionários, VPNs e credenciais contra roubo.

As organizações também podem aplicar controles de acesso baseados em funções e o princípio do menor privilégio para limitar o acesso dos funcionários somente aos dados de que precisam para suas funções. Essas políticas podem ajudar a impedir ameaças internas e hackers que sequestram contas legítimas.