Proton mapeia 300 milhões de registros comprometidos em 2025 e expõe perfil dos alvos na dark web

Lead — Um levantamento conjunto da Proton e da Constella Intelligence revelou que, somente em 2025, 300 milhões de registros de pessoas físicas e jurídicas foram expostos em 794 incidentes verificados na dark web. A análise, conduzida pelo recém-lançado serviço Data Breach Observatory, mostra ainda que a concentração de ataques recai sobre pequenas e médias empresas, enquanto endereços de e-mail figuram em 100% dos conjuntos de dados vazados.

Escala dos vazamentos identificados

O Data Breach Observatory mensurou a extensão dos dados desprotegidos ao longo do ano e registrou duas camadas de impacto. Na contagem direta de ocorrências distintas, 794 incidentes resultaram em 300 milhões de registros comercializados em fóruns clandestinos. Quando a investigação inclui bases agregadas — pacotes que consolidam informações oriundas de múltiplas invasões — os números se multiplicam: 1.571 episódios e “centenas de bilhões” de registros entram em circulação. Esse contraste revela que a reutilização e o reempacotamento de dados comprometidos potencializam a exposição inicialmente causada por cada ataque.

Entidades envolvidas na pesquisa

A iniciativa é conduzida pela Proton, empresa conhecida pelos serviços de privacidade online, em cooperação com a Constella Intelligence, especialista em monitoramento de ameaças digitais. O trabalho de campo é sustentado por uma equipe de analistas humanos, somada a ferramentas automatizadas de varredura. A sinergia entre essas duas frentes garante rastreamento constante de repositórios utilizados por agentes mal-intencionados para divulgar ou negociar informações sigilosas.

Funcionamento do Data Breach Observatory

O observatório opera em regime de tempo real. Sistemas automatizados percorrem canais de comunicação, fóruns e marketplaces ocultos, enquanto analistas avaliam a autenticidade dos lotes encontrados. Quando um conjunto inédito é detectado, ele é catalogado, quantificado e classificado por tipo de dado. O fluxo termina com a geração de alertas às organizações afetadas, fornecendo, segundo a Proton, uma “janela de resposta” que pode anteceder a constatação interna de violação pelos próprios alvos.

Porte das empresas mais afetadas

O relatório aponta um padrão de vulnerabilidade associado ao tamanho da companhia. Negócios com 10 a 249 funcionários foram responsáveis por 48% de todos os vazamentos verificados, enquanto organizações ainda menores, com até 9 colaboradores, somaram outros 23%. No total, empreendimentos classificados como pequenas e médias empresas (PMEs) concentraram 71% dos incidentes.

De acordo com a Proton, a razão para essa disparidade reside na limitação de recursos. Grandes corporações costumam alocar orçamentos robustos em proteção cibernética e contar com equipes dedicadas, ao passo que PMEs operam com infraestrutura enxuta. Essa assimetria transforma empresas de menor porte em alvos com maior relação risco-retorno para invasores.

Setores econômicos na linha de frente

A distribuição dos incidentes por segmento mostra o varejo e o comércio atacadista na primeira posição, somando 25% dos casos. Companhias de tecnologia ocupam o segundo lugar, com 15%, seguidas por organizações de mídia e entretenimento, que respondem por 11% das ocorrências. O recorte indica que operações intensivas em transações on-line e grandes volumes de usuários tendem a ser mais expostas, mesmo dentro do universo das PMEs.

Tipos de informação mais recorrentes

Endereços de e-mail: presença em 100% das bases examinadas, configurando-se como dado universalmente coletado.

Nomes completos: aparecem em 90% dos vazamentos, proporcionando identificação direta da vítima.

Telefones e endereços físicos: surgem em 72% dos episódios, viabilizando contato ou geolocalização.

Senhas: integram 49% dos lotes, ampliando o risco de acesso não autorizado a contas diversas.

Registros governamentais e dados médicos: presentes em 34% dos incidentes, adicionam natureza altamente sensível aos pacotes.

Consequências potenciais do conjunto de dados

A combinação de e-mail, nome, contato telefônico, endereço e senha cria um arsenal suficiente para múltiplas fraudes. Entre as possibilidades estão a execução de engenharia social, abertura de contas em nome de terceiros, compras não autorizadas e usurpação de identidade. A presença de registros médicos ou governamentais intensifica o alcance desses golpes, uma vez que amplia as informações conferidas ao criminoso para superar mecanismos de verificação.

Sinalização precoce como estratégia de contenção

Ao centralizar o acompanhamento de vazamentos num ponto único de observação, o Data Breach Observatory pretende oferecer alerta imediato às empresas afetadas. Segundo a Proton, existem casos em que um conjunto de dados é publicado ou posto à venda antes mesmo de a organização vítima detectar a intrusão. Nesses cenários, uma notificação extemporânea pode reduzir a janela de exposição pública e permitir contramedidas, como redefinição de credenciais e comunicação com usuários impactados.

Comparativo com iniciativas similares

O modelo de varredura adotado pela Proton acompanha uma prática já estabelecida no setor de cibersegurança. A Cyble, por exemplo, mantém serviço semelhante e, em janeiro de 2025, localizou credenciais de 14 fornecedores de segurança circulando na dark web. O episódio ilustra que, mesmo entre companhias especializadas na proteção de dados, existe vulnerabilidade a ataques — reforçando a ideia de que nenhuma entidade está isenta de riscos.

Panorama de 2025 até outubro

Os dados apresentados refletem a situação observada até 30 de outubro de 2025. Durante esse intervalo, a média mensal ultrapassa 79 incidentes exclusivos e aproximadamente 30 milhões de registros comprometidos por mês, se considerada apenas a contagem direta. A inclusão de bases compostas eleva a estimativa, embora o relatório se refira a “centenas de bilhões” sem detalhar a soma precisa.

Estrutura do mercado de dados roubados

O monitoramento demonstra que fóruns clandestinos se consolidam como pontos centrais de comercialização. Ali, pacotes são ofertados com recortes por setor, país ou tipo de dado, atendendo a demandas específicas dos compradores. A Proton indica que a observação a esses canais em tempo real se tornou requisito para qualquer programa de defesa informacional, sobretudo para organizações de menor porte, dadas as estatísticas de incidência.

Visão segmentada das vítimas

A predominância de PMEs no total de ocorrências aponta para um desequilíbrio entre capacidade ofensiva e capacidade defensiva. Enquanto atacantes se beneficiam de ferramentas automatizadas de exploração e distribuição, muitas empresas menores carecem de políticas de atualização, gestão de senhas ou monitoramento contínuo. O levantamento da Proton quantifica esse cenário, oferecendo referência objetiva para debates sobre custo-benefício de investimentos em segurança digital.

Conclusão factual do relatório

Com 300 milhões de registros expostos em menos de um ano e uma concentração de 71% dos incidentes em empresas com até 249 funcionários, o relatório da Proton e da Constella Intelligence descreve um quadro de risco elevado para dados corporativos e pessoais. A recorrência de informações sensíveis, somada à velocidade de circulação na dark web, confirma a necessidade de mecanismos de alerta precoce e enfatiza que recursos limitados continuam sendo o principal ponto fraco das organizações menores.