As maiores violações de dados da história: uma linha do tempo de desastres digitais

Q: Qual é a maior violação de dados da história?

A violação do Yahoo entre 2013 e 2014 continua sendo a maior, afetando todos os 3 bilhões de contas de usuários. Não foi totalmente divulgado até 2017.

Q: Quanto custa uma violação de dados para uma empresa?

De acordo com o relatório de 2025 da IBM, o custo médio de uma violação de dados é de US$ 4,88 milhões. As violações de saúde custam em média US$ 10,93 milhões.

Q: O que devo fazer se meus dados forem violados?

Altere imediatamente as senhas do serviço afetado e de todas as contas que usam a mesma senha. Habilite o 2FA, monitore as demonstrações financeiras e considere um congelamento de crédito.

Q: Como posso verificar se meus dados foram violados?

Use serviços como Have I Been Pwned (haveibeenpwned.com) para verificar se seu e-mail aparece em violações conhecidas.

Q: As violações de dados estão piorando?

Sim. Tanto a frequência como a escala das violações continuam a aumentar devido à expansão das superfícies de ataque, à migração para a nuvem e aos agentes de ameaças cada vez mais sofisticados.

Segurança cibernética 27 de fevereiro de 2026 · 12 minutos de leitura

Timeline of the biggest data breaches in history

16.7B+Registros expostos desde 2013

$4,88MCusto médio de violação (2025)

277 diasTempo médio para detecção

Por que as violações de dados continuam piorando

Todo ano estabelece um novo recorde. A superfície de ataque se expande à medida que as empresas migram para a nuvem, adotam dispositivos IoT e acumulam décadas de dados de usuários. Enquanto isso, os invasores são mais bem financiados, mais organizados e utilizam cada vez mais a IA. O resultado: as violações são maiores, mais caras e mais difíceis de detectar do que nunca.

Uma organização média leva 277 dias para identificar e conter uma violação. São 9 meses de invasores exfiltrando dados silenciosamente antes que alguém perceba.

📅 Cronograma de 15 violações graves

Yahoo2013–2014

3 bilhões de contas

Ataque: hacking patrocinado pelo Estado, cookies forjados

💡 O Yahoo não descobriu a violação por 3 anos. O encobrimento custou-lhes US$ 350 milhões no acordo de aquisição da Verizon. Lição: Invista na detecção de violações, não apenas na prevenção.

Primeiro Financeiro Americano2019

885 milhões de registros

Ataque: falha de autenticação (IDOR)

💡 Documentos confidenciais (extratos bancários, números de Seguro Social) eram acessíveis simplesmente alterando o número da URL. Lição: Sempre implemente controles de acesso adequados.

Facebook (Meta)2019

533 milhões de usuários

Ataque: vulnerabilidade de captura de API

💡 Números de telefone e dados pessoais de 533 milhões de usuários de 106 países foram copiados e vazados gratuitamente em um fórum de hackers. Lição: Limite a taxa e monitore o acesso à API.

Marriott International2014–2018

500 milhões de visitantes

Ataque: intrusão persistente na rede

💡 Os invasores estiveram dentro do sistema de reservas da Starwood por 4 anos antes de a Marriott adquiri-lo – e ninguém verificou. Lição: Auditorias de segurança antes de fusões e aquisições são críticas.

LinkedIn2021

700 milhões de perfis

Ataque: captura de API

💡 Dados de 93% dos usuários do LinkedIn foram copiados e vendidos. O LinkedIn argumentou que não era uma “violação”, já que nenhum dado privado foi acessado. Lição: Dados públicos em grande escala tornam-se uma ameaça à privacidade.

Adobe2013

153 milhões de contas

Ataque: invasão de rede, criptografia deficiente

💡 As senhas foram criptografadas com 3DES (sem hash), tornando-as fáceis de quebrar. O código-fonte do Photoshop e do Acrobat também foi roubado. Lição: Sempre faça hash de senhas, nunca criptografe-as.

Equifax2017

147 milhões de pessoas

Ataque: vulnerabilidade não corrigida do Apache Struts

💡 Números de Seguro Social, datas de nascimento e endereços de metade da população dos EUA foram expostos porque uma vulnerabilidade conhecida não foi corrigida por 2 meses. Lição: O gerenciamento de patches salva impérios.

Capital Um2019

106 milhões de clientes

Ataque: WAF mal configurado, SSRF

💡 Um ex-funcionário da AWS explorou um firewall mal configurado para acessar aplicativos de cartão de crédito armazenados no S3. Lição: Configurações incorretas da nuvem são as novas portas abertas.

T-Mobile2021

77 milhões de clientes

Ataque: força bruta via roteador desprotegido

💡 Um roteador desprotegido forneceu o ponto de entrada inicial. A T-Mobile foi violada mais de 8 vezes desde 2018. Lição: Violações repetidas sinalizam falhas sistêmicas na cultura de segurança.

SolarWinds2020

18.000 organizações

Ataque: comprometimento da cadeia de suprimentos

💡 Hackers estatais russos inseriram um backdoor na atualização Orion da SolarWinds, comprometendo agências governamentais dos EUA e empresas da Fortune 500. Lição: Sua cadeia de suprimentos é sua superfície de ataque.

Oleoduto Colonial2021

Ransomware — US$ 4,4 milhões pagos

Ataque: senha VPN comprometida (sem 2FA)

💡 Uma única senha VPN vazada sem autenticação multifator interrompeu o fornecimento de combustível para a Costa Leste dos EUA. Lição: Habilite 2FA em cada ponto de acesso remoto.

Última passagem2022

25 Cofres de milhões de usuários

Ataque: comprometimento da máquina do desenvolvedor

💡 Os invasores comprometeram o computador doméstico de um desenvolvedor e usaram credenciais roubadas para acessar cofres de senhas criptografadas. Lição: Mesmo as empresas de segurança não estão imunes. Use senhas mestras fortes.

23andMe2023

6,9 milhões de usuários

Ataque: preenchimento de credenciais

💡 Senhas reutilizadas deram aos invasores acesso a contas, que expuseram dados genéticos de milhões de pessoas por meio do recurso “DNA Parentes”. Lição: Nunca reutilize senhas — especialmente em sites com dados pessoais confidenciais.

MOVEit2023

mais de 2.700 organizações

Ataque: injeção SQL de dia zero

💡 A gangue de ransomware Cl0p explorou uma ferramenta de transferência de arquivos MOVEit da Progress Software de dia zero, afetando companhias aéreas, bancos e agências governamentais em todo o mundo. Lição: Minimize a exposição dos serviços de transferência de arquivos.

Dados públicos nacionais2024

2,9 bilhões de registros

Ataque: exposição desprotegida do banco de dados

💡 Números de Segurança Social, nomes e endereços de quase todos os americanos foram expostos por uma empresa de verificação de antecedentes praticamente sem segurança. Lição: Os corretores de dados são um risco enorme e não regulamentado.

Detalhamento dos métodos de ataque

Quais técnicas levaram às maiores violações? Aqui está o padrão:

🔓 Ataques de credenciais

Recheio de credenciais, força bruta, senhas roubadas. Atrás do Colonial Pipeline, 23andMe e muitos mais. Corrigir: Senhas exclusivas + 2FA.

🐛 Vulnerabilidades não corrigidas

CVEs conhecidos deixados sem correção por semanas ou meses. Equifax e MOVEit são exemplos de livros didáticos. Correção: Patches automatizados e verificação de vulnerabilidades.

⚙️ Configurações incorretas

Bancos de dados abertos, buckets S3 públicos, APIs expostas. A First American e a Capital One caíram assim. Correção: Gerenciamento de postura de segurança na nuvem.

🔗 Cadeia de Fornecimento

Comprometer atualizações de software confiáveis ou ferramentas de terceiros. SolarWinds e MOVEit exploraram cadeias de confiança. Correção: Lista de materiais de software e auditorias de fornecedores.

O que acontece com seus dados após uma violação

Depois que seus dados são roubados, eles seguem um caminho previsível:

Venda inicial: O hacker vende o conjunto de dados em mercados da dark web dentro de horas a dias
Recheio de credenciais: Bots automatizados testam sua combinação de e-mail/senha em centenas de outros sites
Fraude de identidade: Registros de identidade completos (SSN, data de nascimento, endereço) são usados para solicitações de empréstimo e fraude fiscal
Campanhas de phishing: Seus dados pessoais tornam os e-mails de phishing direcionados altamente convincentes
Circulação permanente: Dados violados nunca desaparecem — são reembalados e revendidos por anos

Como se proteger

🔐 Use senhas exclusivas — Um gerador de senha cria senhas fortes e aleatórias para cada conta

🛡️ Ative 2FA em qualquer lugar — Leia nosso guia 2FA completo

🔍 Monitore sua exposição - Verifique haveibeenpwned.com regularmente

❄️ Congelar seu crédito — Evita que contas fraudulentas sejam abertas em seu nome

📧 Use aliases de e-mail — Dê a cada serviço um e-mail exclusivo para limitar o raio de explosão

Perguntas frequentes

Qual é a maior violação de dados da história?

A violação do Yahoo (2013-2014) afetou todos os 3 bilhões de contas, tornando-a a maior em número de usuários. A violação de dados públicos nacionais de 2024 expôs 2,9 bilhões de registros, incluindo números da Previdência Social.

Quanto custa uma violação de dados para uma empresa?

De acordo com o relatório de 2025 da IBM, o custo médio é de US$ 4,88 milhões. As violações no setor de saúde custam em média US$ 10,93 milhões – o valor mais alto de qualquer setor em 14 anos consecutivos.

O que devo fazer se meus dados forem violados?

Altere as senhas imediatamente, habilite 2FA, monitore as demonstrações financeiras em busca de atividades não autorizadas e considere congelar seu crédito com todas as três agências.

Como posso verificar se meus dados foram violados?

Use Use Have I Been Pwned para verificar se seu e-mail aparece em violações conhecidas. Inscreva-se para receber alertas para ser notificado sobre violações futuras.

>Fui enganado para verificar se seu e-mail aparece em violações conhecidas. Inscreva-se para receber alertas para ser notificado sobre futuras violações.

As violações de dados estão piorando?

Sim. Tanto a frequência quanto a escala continuam aumentando. 2023 viu um aumento de 72% nas violações em relação ao recorde anterior estabelecido em 2021, e 2024-2025 continuou a tendência.

Ferramentas relacionadas

🔑 Gere uma senha forte →

📱 Configurar autenticação de dois fatores

🔒 Como criar uma senha forte em 2026