Você acabou de receber um alerta: os dados da sua empresa estão na dark web. As credenciais dos seus funcionários estão sendo vendidas em um dump de violação. Este momento define se isso se torna um incidente gerenciável ou uma violação catastrófica. As próximas 72 horas são tudo. Aqui está exatamente o que fazer.

Primeiros 15 minutos — Triagem imediata

O pânico é natural. Resista a ele.

Suas primeiras ações são puramente mecânicas: reúna fatos, documente tudo e ative o mecanismo de resposta a incidentes.

Faça isso agora:

• Capture tudo. Faça screenshots do alerta, da fonte, do timestamp, da URL. Você vai precisar disso para análise forense e apresentações regulatórias.
• Identifique o escopo. Quantos registros estão expostos? Que tipos de dados? Senhas de funcionários? Dados pessoais de clientes? Dados de cartão de pagamento? Propriedade intelectual? Isso determina se você está fazendo uma notificação GDPR ou uma emergência multi-país.
• Determine a antiguidade. É uma violação completamente nova de uma semana atrás, ou dados antigos de um incidente que você já corrigiu há três anos? A cronologia importa para a prioridade de investigação.
• Pergunte: Estamos atualmente comprometidos? Uma listagem na dark web pode ser dados obsoletos. Ou pode sinalizar que um invasor ainda está na sua rede. Esta é a pergunta que seu CISO precisa responder imediatamente.
• Escale. Ligue para seu CISO, diretor de TI, consultor jurídico e DPO (se você tiver um). Se você tiver um plano documentado de resposta a incidentes, ative-o agora. Se não, anote como item de ação para depois da crise.

Horas 1–4 — Contenção e avaliação

A velocidade importa aqui, mas a precisão importa mais. Seu objetivo é parar o sangramento antes de entender completamente a ferida.

Contenção imediata:

• Force a redefinição de senhas para todas as contas afetadas. Sim, todas. Sim, imediatamente. Esta é a única ação que instantaneamente desvaloriza as credenciais comprometidas na dark web. Os atacantes provavelmente estão executando ataques de preenchimento de credenciais contra sua rede agora, tentando usar as senhas expostas antes que os funcionários as mudem.
• Revogue sessões ativas. Faça logout de todos. Force re-autenticação. Se um atacante já tem sessões válidas abertas, isso as mata.
• Verifique seu SIEM e registros de segurança. Procure por sinais de comprometimento ativo:
  • Padrões de login incomuns (fora do horário, geografias incomuns, tentativas falhadas)
  • Movimento lateral (uma conta comprometida se movimentando pela rede)
  • Exfiltração de dados (grandes transferências de arquivo, regras de encaminhamento de email, uploads de armazenamento em nuvem)
  • Mecanismos de persistência (novas tarefas agendadas, novas contas de administrador, regras VPN)

Questões de avaliação:

• A violação está em andamento ou é histórica? (Afeta urgência e escopo)
• Quais sistemas foram realmente afetados? (As regras de notificação diferem dependendo dos dados)
• Os dados do cliente estão incluídos? (Ativa a notificação regulatória em quase todas as jurisdições)
• Os dados de parceiros ou terceiros estão incluídos? (Responsabilidade adicional e requisitos de notificação)

Se você não tiver expertise forense internamente, contrate uma empresa externa de resposta a incidentes agora. Eles podem preservar evidências corretamente, conduzir atribuição e guiá-lo através da notificação regulatória. Este não é um custo a ser evitado.

O relógio regulatório de 72 horas GDPR/NIS2

Isto não é opcional.

De acordo com o Artigo 33 do GDPR, você deve notificar sua autoridade supervisora dentro de 72 horas de tomar conhecimento de uma violação de dados pessoais. Perder este prazo não é perdoável—ativa multas adicionais além da multa principal de violação.

De acordo com NIS2 (para operadores de serviços essenciais), o prazo é ainda mais apertado: alerta antecipado dentro de 24 horas, notificação completa dentro de 72 horas.

De acordo com DORA (para instituições financeiras), notificação imediata aos reguladores.

As penalidades são reais:

• GDPR: até €10 milhões ou 2% do faturamento anual global, o que for maior, apenas por notificação atrasada
• NIS2: multas significativas e restrições operacionais
• DORA: multas + restrições operacionais

Insight crítico: Você não precisa ter sua investigação completa para apresentar uma notificação em conformidade. A lei espera que você notifique com base no que você sabe na marca de 72 horas. Você pode apresentar uma notificação de acompanhamento com detalhes adicionais conforme a investigação progride.

Horas 4–24 — Notifique e documente

Legal e conformidade:

• Notifique seu DPO e consultor jurídico imediatamente. Eles precisam estar envolvidos em cada decisão.
• Notifique sua autoridade supervisora. Para empresas portuguesas, esta é a Comissão Nacional de Proteção de Dados (CNPD).
  • Sua notificação deve incluir:
    • Data e hora da descoberta
    • Descrição da violação (quais dados, quantos registros, categorias de indivíduos afetados)
    • Consequências prováveis
    • Medidas que você está tomando (remediação, investigação, contenção)
    • Detalhes de contato para acompanhamento
    • Nota de que a investigação está em andamento e você fornecerá atualizações
• Avalie o risco de notificação dos titulares de dados. Se a violação apresenta alto risco para indivíduos (dados sensíveis, sem criptografia, já sendo usado em fraudes), você deve notificar os indivíduos afetados diretamente. Isso é separado da notificação da autoridade e ocorre em paralelo.
• Notifique sua seguradora de ciberataques imediatamente. Muitas apólices têm requisitos estritos de notificação. Atrasar isso custa a cobertura.
• Preserve todas as evidências em formato forense. Não deixe seu time de TI simplesmente deletar logs ou "limpar". Tudo é evidência agora. A cadeia de custódia importa tanto para investigação quanto para possível litígio.
• Crie uma cronologia detalhada do incidente. Quando os dados foram realmente roubados versus quando você tomou conhecimento? Esta distinção importa para cálculos regulatórios e responsabilidade.

Dias 1–14 — Remedie e recupere

Agora que as ações imediatas estão em vigor, avance para contenção e recuperação completas.

Credenciais e acesso:

• Force a redefinição de senhas em toda a empresa se ainda não foi feito. Não apenas redefina contas afetadas—assuma que seu vault de senhas está comprometido.
• Implemente ou fortaleça MFA em todos os sistemas críticos. Qualquer credencial que um atacante comprou na dark web torna-se praticamente inútil se MFA estiver habilitado.
• Corrija a vulnerabilidade de causa raiz que permitiu a violação. Este é seu item principal de remediação. Vulnerabilidade + credenciais roubadas = comprometimento ativo. Patch + credenciais roubadas = incidente histórico.

Investigação e atribuição:

• Contrate análise forense externa para análise de causa raiz. Você precisa saber: Como entraram? Quando? Por qual sistema? Exfiltraram apenas dados ou os viram? Instalaram persistência? Isso informa tanto sua remediação quanto sua reivindicação de seguro.
• Procure por movimento lateral em sua rede. Se os atacantes tinham credenciais válidas, eles provavelmente não apenas roubaram dados—eles se movimentaram pela sua rede. Encontre o que tocaram.

Endurecimento operacional:

• Audite o acesso de todos os terceiros. Violações de dados são frequentemente rastreadas até fornecedores terceirizados comprometidos. Quem tem acesso aos seus sistemas? Eles ainda precisam? Estão usando?
• Revise e melhore a cobertura de MFA. Se MFA tivesse estar em vigor, essa violação teria causado danos de ordens de magnitude menores. Torne-a obrigatória para todo acesso remoto, todas as contas privilegiadas e todos os serviços em nuvem.
• Revise e atualize seu plano de resposta a incidentes. Agora que você vivenciou isso, escreva o que funcionou, o que não funcionou e o que estava faltando. Atualize sua lista de contatos, seus procedimentos de escalação e suas relações com fornecedores de análise forense.

Comunicação e monitoramento:

• Prepare comunicações com clientes se necessário. Se os dados dos clientes foram comprometidos, você precisará de comunicações transparentes e factuais. Comece a redigir agora, mas não envie até consultar o departamento jurídico.
• Monitore a dark web para exposição contínua dos seus dados. Os atacantes às vezes revendem os mesmos dados várias vezes. Configure alertas para seu nome de domínio corporativo, endereços de email de executivos e nomes de funcionários. DarkVault fornece monitoramento automatizado para detectar exposições de acompanhamento.

Configuração de monitoramento contínuo após uma violação

Uma violação sinaliza vulnerabilidade. E os atacantes são eficientes—eles revendem acesso, credenciais e dados várias vezes em diferentes fóruns criminosos.

Se os dados da sua empresa chegaram à dark web uma vez, você precisa de monitoramento contínuo para detectar se estão sendo revendidos, alavancados para ataques de acompanhamento ou agrupados com outras violações.

Configure alertas da dark web para:

• Seu nome de domínio corporativo (para credenciais corporativas, ferramentas internas, email comercial)
• Nomes de executivos e endereços de email pessoais (para phishing direcionado)
• Nomes de produtos-chave ou segredos comerciais (para roubo de PI ou inteligência competitiva)
• Seu setor vertical + tamanho da empresa (os atacantes perfilam objetivos por setor)

Não espere pela próxima violação para começar a monitorar. Toda empresa do seu tamanho está sendo alvo. Comece a monitorar a dark web agora para detectar exposições antes de serem exploradas. DarkVault fornece scans contínuos da dark web e alertas em tempo real para que você saiba imediatamente quando seus dados aparecem.

Revisão pós-incidente e relatório ao conselho

Uma vez contida a crise imediata, seu conselho e partes interessadas vão querer respostas.

Análise de causa raiz:

• O que realmente aconteceu? Qual vulnerabilidade foi explorada? Era uma vulnerabilidade conhecida e corrigida que não havia sido implementada em produção? Era um zero-day? Era engenharia social ou comprometimento de credenciais?
• Poderia ter sido prevenido? (Determina responsabilidade do acionista e cobertura de seguro cibernético)

Reconstrução de cronologia:

• Quando os dados foram realmente roubados?
• Quando você tomou conhecimento?
• Como você tomou conhecimento? (Detecção interna, alerta externo, monitoramento de dark web?)
• Esta cronologia é crítica para conformidade regulatória e reivindicações de seguro.

Lições regulatórias e financeiras:

• Quanto a notificação custou? (Horas de advogados, RP, análise forense)
• Você cumpriu todos os prazos regulatórios?
• Que cobertura seu seguro cibernético forneceu?
• O que não será coberto devido a cláusulas de negligência?

Template de apresentação ao conselho:

Seu conselho fará três perguntas: O que aconteceu? Quanto custou? Como prevenimos da próxima vez? Estruture sua apresentação em torno dessas três perguntas.

• O que aconteceu: Um parágrafo. Sem jargão. Apenas fatos.
• Impacto: Dados comprometidos (tipos, volume), sistemas afetados, clientes impactados, notificações regulatórias necessárias.
• Resposta: Cronologia das ações tomadas, custo de resposta a incidentes, multas/penalidades regulatórias, estimativa de dano reputacional.
• Prevenção: Quais mudanças você está fazendo para prevenir recorrência. Orçamento necessário.

FAQ

Quanto tempo os dados da empresa permanecem na dark web?

Indefinidamente. Uma vez que os dados estão na dark web, assuma que estão permanentemente disponíveis. Eles são revendidos, agrupados em novos conjuntos de dados e compartilhados em fóruns. A dark web é essencialmente um arquivo permanente. Sua estratégia de remediação deve assumir que seus dados estão comprometidos para sempre—concentre-se em minimizar o dano através de rotação de credenciais, MFA e monitoramento.

Posso fazer com que meus dados sejam removidos da dark web?

Praticamente falando, não. Alguns vendedores alegam que podem, mas essencialmente estão pagando a um operador de fórum para deslistar seus dados—e não há garantia de que outra cópia não esteja já circulando. Sua energia é melhor gasta em defesa (MFA, monitoramento, controles de acesso) do que em remoção.

Encontrar meus dados na dark web significa definitivamente que fui hackeado?

Encontrar credenciais de funcionários na dark web significa que essas credenciais estão comprometidas. Se isso representa uma violação ativa dos seus sistemas depende de como as credenciais foram expostas. Podem ser dados antigos de um incidente não relacionado, ou podem sinalizar um invasor ativo agora. É por isso que a investigação forense é crítica—determina se você está lidando com exposição histórica ou perigo presente.