Incidentes12 min de leitura

Casos reais de incidentes de dados no Brasil: lições aprendidas

Equipe Confidata·
Compartilhar

Estudar casos reais de incidentes é a forma mais eficiente de preparar sua organização para o que provavelmente vai acontecer. O Brasil já passou por alguns dos maiores vazamentos de dados do mundo — e o ambiente regulatório da LGPD transformou o que antes era apenas um problema de TI em um problema de compliance, reputação e responsabilidade civil.

Este artigo analisa os principais incidentes de dados ocorridos no Brasil, com foco nas causas, nos impactos e — principalmente — nas lições que cada caso ensina para organizações que querem evitar repetir os mesmos erros.

O cenário brasileiro de incidentes de dados

O Brasil esteve consistentemente entre os países mais afetados por incidentes de dados nos últimos anos. Fatores que contribuem para isso:

  • Volume de digitalização acelerada sem crescimento equivalente das práticas de segurança
  • Cultura de acúmulo de dados sem políticas claras de retenção e minimização
  • Terceirização intensiva sem due diligence de segurança dos fornecedores
  • Infraestrutura legada em setores público e privado, com sistemas antigos expostos

Com a LGPD em vigor (sanções a partir de agosto de 2021), cada incidente passou a ter implicações regulatórias diretas — além dos danos financeiros e reputacionais pré-existentes.

Caso 1: O mega-vazamento de CPFs — 223 milhões de registros (2021)

Em janeiro de 2021, pesquisadores de segurança identificaram um banco de dados massivo sendo comercializado em fóruns de hackers, contendo dados de aproximadamente 223 milhões de pessoas — número que supera a população total do Brasil na época, incluindo registros de pessoas falecidas.

O que foi exposto

O banco de dados continha múltiplas camadas de informações:

  • CPF, nome completo, data de nascimento, sexo
  • Endereço, telefone, e-mail
  • Foto de rosto vinculada ao CPF
  • Dados de veículos (placa, modelo, ano)
  • Score de crédito e renda estimada
  • Informações sobre vínculos empregatícios

A investigação

Pesquisadores da empresa de segurança PSafe foram os primeiros a reportar o incidente publicamente. A origem exata dos dados nunca foi oficialmente confirmada, mas a estrutura do banco de dados levou pesquisadores a especular sobre um agregador de dados ou bureau de crédito como fonte. A ANPD instaurou processo de investigação.

Lições do caso

  1. Dados de múltiplas fontes agregados criam risco maior do que a soma das partes — CPF sozinho tem valor limitado; CPF + foto + renda + veículo cria um perfil completo para fraude de identidade
  2. A retenção desnecessária de dados históricos amplia o impacto — dados de pessoas falecidas constavam no banco, evidenciando ausência de política de retenção
  3. Bases de dados legadas são vetores de risco — sistemas que consolidam dados de múltiplas fontes ao longo dos anos sem auditoria de segurança acumulam risco silencioso

Caso 2: O ataque ao Ministério da Saúde — ConecteSUS (dezembro de 2021)

Em 10 de dezembro de 2021, o Ministério da Saúde do Brasil sofreu um ataque cibernético que derrubou o sistema ConecteSUS — plataforma central para o comprovante de vacinação contra a COVID-19 — além do site oficial do ministério e outros sistemas internos.

O impacto

O ataque ocorreu no pico da pandemia de COVID-19, quando o passaporte de vacina era exigido para viagens internacionais e acesso a locais públicos em vários estados. Milhões de brasileiros ficaram temporariamente sem acesso aos seus comprovantes de vacinação.

Os atacantes alegaram ter copiado e excluído dados dos sistemas, afirmando a posse de 50 terabytes de informações. Os sistemas afetados continham dados de vacinação e testes de COVID-19 de dezenas de milhões de brasileiros, incluindo:

  • Nome, CPF, data de nascimento
  • Histórico de vacinação e resultados de testes de COVID-19
  • Dados do Cartão Nacional de Saúde (CNS)

Autoria

O grupo Lapsus$ reivindicou a autoria do ataque, deixando mensagens nas páginas desfiguradas. O grupo ficou internacionalmente conhecido por ataques a empresas como Microsoft, Nvidia, Samsung e ao governo brasileiro em 2021-2022.

Lições do caso

  1. Infraestrutura governamental tem os mesmos riscos que o setor privado — e frequentemente com menos recursos para segurança
  2. Sistemas críticos de saúde precisam de planos de continuidade — a indisponibilidade do ConecteSUS causou impacto operacional imediato em escala nacional
  3. Credenciais privilegiadas são o vetor mais comum — o ataque explorou acessos com privilégios excessivos
  4. Backups offline são obrigatórios para sistemas críticos — dados "excluídos" por atacantes devem ser recuperáveis
  5. A notificação de incidentes em sistemas governamentais tem particularidades — o impacto à população exige comunicação coordenada com autoridades

Caso 3: Ransomware na Lojas Renner (agosto de 2021)

Em 19 de agosto de 2021, as Lojas Renner, uma das maiores redes varejistas de moda do Brasil (com presença no Uruguai e Argentina), sofreram um ataque de ransomware que paralisou seus sistemas de TI.

O que aconteceu

O ataque foi do tipo ransomware — os sistemas foram criptografados pelos atacantes, que exigiram resgate para liberar os dados. O site e os aplicativos da Renner ficaram indisponíveis por aproximadamente dois dias. A empresa comunicou que as lojas físicas operaram com processos manuais durante o período.

O grupo de ransomware RansomExx reivindicou a autoria do ataque. A Renner negou ter pago resgate e declarou não ter identificado vazamento de dados pessoais de clientes.

O aspecto LGPD

O ataque ocorreu meses após a entrada em vigor das sanções da LGPD (agosto de 2021). A Renner comunicou o incidente às autoridades e declarou que estava investigando se houve exfiltração de dados pessoais de clientes. A ANPD acompanhou o caso.

Lições do caso

  1. Ransomware é uma ameaça a dados pessoais, não apenas operacional — mesmo que os atacantes "apenas" criptografem, a LGPD exige avaliação se houve acesso ou exfiltração antes da criptografia
  2. A capacidade de resposta operacional precisa ser testada — a Renner conseguiu manter lojas abertas com processos manuais; nem toda empresa tem esse plano B
  3. Segmentação de rede limita o impacto — um ataque que contamina toda a infraestrutura indica ausência de segmentação adequada
  4. A comunicação externa durante o incidente é parte do plano de resposta — o silêncio percebido como evasivo piora a crise de reputação

Caso 4: NetShoes — o precedente pré-LGPD (2019)

Antes mesmo de a LGPD entrar em vigor, o Brasil já tinha um mecanismo de responsabilização por incidentes de dados — e o caso NetShoes em 2019 foi o primeiro grande precedente.

O incidente

A NetShoes, varejista de artigos esportivos adquirida pelo Magazine Luiza, sofreu um vazamento que expôs dados de aproximadamente 2 milhões de clientes: nome completo, CPF, e-mail, data de nascimento e histórico de compras.

A resposta institucional

O Ministério Público do Distrito Federal e Territórios (MPDFT) firmou acordo extrajudicial com a NetShoes: a empresa se comprometeu a pagar R$500.000 ao Fundo de Defesa de Direitos Difusos (FDD) e a notificar os clientes afetados sobre o incidente.

Este caso estabeleceu, pré-LGPD:

  • Que empresas podem ser responsabilizadas por vazamentos de dados de consumidores
  • Que a notificação de titulares não era apenas boa prática, mas poderia ser exigida judicialmente
  • Que o Código de Defesa do Consumidor (CDC) e o Marco Civil da Internet (MCI) já criavam obrigações de proteção de dados antes da LGPD

Lições do caso

  1. A LGPD formalizou obrigações que já existiam implicitamente no CDC e no MCI
  2. A notificação de titulares afetados é um direito, não uma escolha da empresa
  3. Acordos voluntários com o MP podem ser alternativa à litigância — mas o custo reputacional e financeiro existe de qualquer forma

As primeiras sanções da ANPD

A ANPD publicou seu Regulamento de Dosimetria de Sanções Administrativas em 2023 e passou a conduzir processos sancionatórios formais. As primeiras sanções administrativas da autoridade envolveram:

  • Processos relacionados a vazamentos de dados de pequeno e médio porte com empresas que não notificaram a ANPD dentro do prazo ou que não cooperaram com o processo de investigação
  • Casos em que empresas tratavam dados sem base legal documentada, especialmente em contextos de marketing digital e uso de dados de terceiros

A ANPD adotou uma postura inicial mais focada em orientação e correção do que em punição financeira máxima — especialmente para pequenos agentes e para primeiros infratores. À medida que o quadro regulatório se consolida, as sanções tendem a aumentar em frequência e valor.

Padrões recorrentes: o que os casos ensinam

Analisando os principais incidentes brasileiros, cinco padrões se repetem:

1. Acesso privilegiado não monitorado

Contas com privilégios excessivos, sem autenticação multifator e sem monitoramento de comportamento, são o vetor de entrada mais frequente. Isso vale para ataques externos e para ameaças internas.

2. Dados acumulados sem política de retenção

Empresas que nunca excluem dados são as que mais têm a perder. A minimização de dados reduz diretamente o impacto de qualquer incidente.

3. Fornecedores como vetor

Parte significativa dos incidentes envolve dados que vazaram por um fornecedor, não diretamente pela empresa controladora. A due diligence de privacidade em fornecedores passou de recomendação a obrigação.

4. Ausência de plano de resposta testado

Empresas que responderam bem aos incidentes tinham planos documentados e equipes treinadas. Empresas que responderam mal aprenderam na crise o que deveriam ter praticado antes.

5. Notificação tardia ou insuficiente

Tanto a ANPD quanto o público são mais tolerantes com empresas que notificam proativamente e com transparência do que com aquelas que minimizam ou ocultam o incidente até não terem mais escolha.

Checklist: o que aprender para sua organização

  • Sua organização tem inventário atualizado de onde estão os dados pessoais?
  • Há política de retenção que limita o volume de dados expostos em caso de incidente?
  • Fornecedores com acesso a dados pessoais foram avaliados quanto à segurança?
  • Há plano de resposta a incidentes documentado, com papéis definidos?
  • O plano foi testado em exercícios (tabletop)?
  • A equipe sabe quem notificar (ANPD) e em quanto tempo (3 dias úteis para notificação preliminar)?
  • Há comunicação preparada para os titulares em caso de incidente relevante?

Conclusão

Os grandes incidentes de dados do Brasil não são acidentes isolados — são o resultado de decisões acumuladas ao longo do tempo sobre como dados são coletados, retidos, protegidos e compartilhados. A LGPD não cria novas vulnerabilidades técnicas; ela cria responsabilidade legal por vulnerabilidades que já existiam.

Para a maioria das organizações brasileiras, a pergunta não é "se" um incidente vai acontecer, mas "quando" — e se a organização estará preparada para responder de forma a minimizar o dano às pessoas afetadas e às obrigações regulatórias.

A Confidata inclui em seu módulo de incidentes um fluxo estruturado de resposta alinhado com os prazos da ANPD: desde a detecção até a notificação, com trilha de auditoria completa de cada etapa do processo.

Compartilhar
#incidentes de dados#vazamento de dados#LGPD#ANPD#ransomware#casos reais#lições aprendidas

Artigos relacionados

Ransomware em Hospitais: O Que a LGPD Exige Após um AtaqueIncidentes · 14 minComo criar um plano de resposta a incidentes de dados pessoaisIncidentes · 13 minComo comunicar um vazamento de dados aos titulares afetadosIncidentes · 11 minPós-Incidente de Dados: Medidas Corretivas e Lições AprendidasIncidentes · 12 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista