Uma nota sobre financiamento: o CypherpunkGuide não veicula publicidade de vigilância — nada de redes de anúncios, pixels de rastreamento ou conteúdo patrocinado. O projeto se sustenta com fontes transparentes de receita: doações de leitores agora; assinatura e afiliados alinhados à linha editorial mais adiante. Respondemos aos leitores, não aos anunciantes.
Você pode apagar uma conta de rede social. Não pode se apagar da receita federal, do sistema de saúde ou da base nacional de identidade. Os dados que você entrega a um governo não são uma escolha que dá para repensar — são o preço de existir como cidadão. É nessa assimetria que mora o problema inteiro. Quando uma empresa perde seus dados, você pode, ao menos em tese, ir embora. Quando o Estado os perde, você continua obrigado a entregar mais.
E, em 2026, o Estado está perdendo em escala. Num único intervalo de semanas nesta primavera, um terceirizado da CISA, a agência de ciberdefesa dos Estados Unidos, deixou chaves administrativas de sistemas de nuvem do governo paradas num repositório de código público por seis meses; uma agência federal de saúde publicou os números de previdência social de médicos num diretório on-line; e o NHS, o Serviço Nacional de Saúde britânico, confirmou que funcionários de uma empresa privada de análise de dados conseguiam alcançar prontuários identificáveis de pacientes. Nenhum desses casos foi um ataque sofisticado de Estado-nação. Foram falhas institucionais comuns — do tipo que se repete porque os incentivos que as produzem nunca mudam.
Então, se você não consegue evitar o vazamento nem deixar de fornecer os dados, o que dá, de fato, para fazer? Este não é um guia sobre confiar em instituições melhores. Escrevi como um manual construído sobre um modelo de ameaça claro — uma descrição simples do que você protege, de quem e o que acontece quando vaza — e sobre uma única premissa: toda base de dados que guarda suas informações um dia será violada, então sua defesa precisa viver em camadas que você controla, não nas promessas da instituição.
As três falhas de 2026#
Comece pelas evidências, porque o padrão só vira algo acionável quando você o vê se repetir. Três incidentes documentados em 2026, em dois governos e na fronteira público-privada, mostram a mesma fragilidade estrutural por três ângulos. Violação, aqui, significa que dados sensíveis se tornaram alcançáveis por alguém que não deveria tê-los — seja por erro, exposição ou acesso amplo demais.
| Incidente | O que ficou exposto | Causa raiz | Situação |
|---|---|---|---|
| Vazamento da CISA no GitHub | Chaves de admin de 3 contas de nuvem do governo + senhas em texto puro (844 MB) | Terceirizado sincronizava arquivos de trabalho por repositório público, com varredura de segredos desativada | Repositório removido; revisão da agência em curso |
| Diretório do Medicare (CMS) | Números de previdência social de profissionais de saúde | SSNs digitados no campo errado de uma base pública | Portal tirado do ar |
| Acesso Palantir × NHS | Prontuários identificáveis alcançáveis por funcionários de um fornecedor | Acesso administrativo contratual, não invasão | Contrato ativo; acesso em curso |
O vazamento da CISA é o caso mais claro. Um terceirizado da Cybersecurity and Infrastructure Security Agency — o órgão encarregado justamente de defender as redes americanas — mantinha um repositório público no GitHub (popular site de hospedagem de código) com credenciais de administrador de três contas de nuvem do governo, arquivos de senha em texto puro, certificados de assinatura e tokens de acesso: cerca de 844 megabytes de material interno. Segundo o KrebsOnSecurity, o funcionário usava o repositório para sincronizar arquivos entre as máquinas do trabalho e de casa e havia desligado de propósito a proteção embutida da plataforma, que bloqueia o envio de segredos. A exposição durou cerca de seis meses até a empresa de segurança GitGuardian a detectar; as chaves de nuvem, segundo relatos, seguiram válidas por cerca de 48 horas depois que o repositório saiu do ar.
O vazamento do CMS revela o mesmo descuido com o único identificador que você jamais consegue trocar. Os Centros de Serviços Medicare e Medicaid (CMS, a agência dos EUA que administra o seguro de saúde público para idosos e pessoas de baixa renda) publicaram um novo diretório público de profissionais do Medicare — e, como noticiou The Hill depois de o Washington Post revelar o caso, ao menos dezenas de números de previdência social desses profissionais — mais tarde relatados como mais de uma centena — ficaram expostos porque os números haviam sido inseridos no campo errado. A agência tirou o portal do ar. Um número de previdência social (SSN, identificador previdenciário permanente do cidadão americano) é o mais próximo de uma chave-mestra vitalícia de identidade que um americano possui; uma vez público, fica comprometido para sempre.
O caso Palantir–NHS é diferente em natureza, e a distinção importa. Não houve invasão. Como noticiou The Register, o NHS England confirmou que funcionários da Palantir — a grande empresa de análise de dados dos EUA — que opera a Plataforma Federada de Dados do NHS (FDP, a plataforma central de dados de pacientes do serviço), de 330 milhões de libras, podiam ter acesso administrativo a informações identificáveis de pacientes. Nenhum atacante foi necessário; o acesso estava escrito no próprio funcionamento do sistema. A organização da sociedade civil Medact documentou a preocupação resultante, e a Grande Manchester seguiu como o único órgão regional a se recusar a aderir. A lição não é “um vilão invadiu”. É que concentrar os prontuários de uma nação inteira sob um único fornecedor já é, em si, a exposição — antes que alguém faça mau uso deles.
Não são os únicos. Recue um ano e o mesmo formato reaparece: a partir do fim de 2024 e descoberta no início de 2025, a terceirizada do governo Conduent — que opera sistemas de Medicaid, pensão alimentícia e auxílio-alimentação para vários estados — foi violada, expondo dados de previdência social e de saúde de mais de 25 milhões de americanos. Seus sistemas foram restaurados, embora a disputa judicial continue e os identificadores vazados não tenham prazo de validade. Vários incidentes nesta primavera, um no ano anterior, dois países, público e privado: os atores mudam, a falha não.
Por que os governos vazam de forma estrutural#
A explicação confortável é o azar — um funcionário descuidado, um erro de digitação, um fornecedor ruim. A explicação útil é que isto não são acidentes, e sim resultados de como os sistemas são construídos. Quatro forças estruturais tornam o vazamento de dados do governo quase inevitável, e dar nome a elas é o que permite que você se defenda da categoria em vez de correr atrás de cada manchete.
| Força estrutural | Mecanismo | Vista em |
|---|---|---|
| Dependência de terceirizados | A responsabilidade se dilui a cada repasse a um fornecedor externo | Chaves da CISA com terceirizado; dados do NHS com a Palantir |
| Shadow IT | Ferramentas não autorizadas desviam segredos das proteções | O repositório público no GitHub do terceirizado |
| Agregação | Um único erro expõe milhões depois que os registros se centralizam | Plataforma do NHS; os 25 milhões de registros da Conduent |
| Responsabilização assimétrica | A instituição paga uma multa; você herda o risco permanente | Os três casos de 2026 |
A dependência de terceirizados dilui a responsabilidade. Os Estados modernos não operam a maior parte da própria tecnologia; eles a contratam por fora. As chaves da CISA estavam com um terceirizado; os prontuários do NHS estão com a Palantir; os 25 milhões de registros estavam com a Conduent. Cada repasse acrescenta uma organização cuja segurança você não enxerga e cujos incentivos não são os seus. A agência fica com a consequência; o terceirizado fica com o notebook.
Shadow IT — as ferramentas que as pessoas usam sem aprovação — desvia segredos das proteções. O repositório público do funcionário da CISA era shadow IT: uma comodidade não autorizada que contornava todos os controles que a agência julgava ter. Sempre que um processo é lento demais, as pessoas constroem um atalho ao lado dele, e o atalho quase nunca tem as mesmas barreiras de proteção.
A agregação transforma um pequeno erro em catástrofe. Quando os registros estão dispersos, um erro expõe alguns. Quando uma plataforma federada ou um diretório nacional os concentra, o mesmo erro expõe milhões. A centralização é vendida como eficiência; ela é, também, um único ponto de falha catastrófica.
A responsabilização é assimétrica. Quando ocorre uma violação, a instituição emite um comunicado, talvez pague uma multa e segue em frente. Você herda o risco permanente. Esse desequilíbrio é a razão mais profunda para presumir vazamento: quem perde seus dados não arca com o custo de perdê-los — então nunca tem motivo suficiente para parar.
Junte tudo isso e a conclusão não é cinismo — é orientação de projeto. Você não consegue reformar quatro forças estruturais de fora. Você consegue construir uma arquitetura pessoal que já espera que elas falhem.
A arquitetura de defesa: presuma 100% de vazamento#
Eis a parte que nenhuma lista de resposta a incidentes te dá, porque ela não pode ser vendida como conserto único: uma arquitetura permanente que presume que toda instituição que guarda seus dados um dia os perderá. Pense nela como cinco camadas, ordenadas da mentalidade à mecânica. Você não vai completar as cinco de uma vez; você as constrói como constrói qualquer defesa, uma camada por vez, mais reforçada onde sua exposição é maior.
Camada 1 — Adote a mentalidade de presumir o vazamento. Um modelo de ameaça é apenas uma resposta clara a “o que estou protegendo, de quem e o que acontece se vazar?”. A virada aqui é parar de modelar as instituições como seguras e começar a modelá-las como guardiãs temporárias de dados que um dia escaparão. Isto não é paranoia; é o que o histórico de 2026 mostra. Uma vez que você presume que a base de dados vai vazar, toda decisão seguinte — o que você envia, sob qual identidade, com qual plano de contingência — fica mais fácil.
Camada 2 — Minimize o que você entrega. Você não pode recusar a receita federal, mas a maior parte da extração de dados não é juridicamente obrigatória. O programa de fidelidade, o campo opcional do perfil, o “verifique com seu documento” num serviço que não precisa disso — cada um é um reservatório que pode vazar mais tarde. Trate toda revelação opcional como um futuro aviso de violação com o seu nome. O controle de privacidade mais eficaz de todos é o dado que nunca foi coletado. Para uma auditoria prática do que já escapou de anos de uso de redes sociais — e por que apagar raramente apaga de fato —, veja o quão permanente é a sua pegada digital.
Camada 3 — Compartimente sua identidade. Eu mantenho um endereço de e-mail diferente para cada grande contexto — finanças, saúde, vida pública —, de modo que uma base de dados vazada não possa ser cruzada com as outras. Um gerenciador de senhas como o Bitwarden, de código aberto, torna prático ter credenciais únicas por site, e um provedor como o Proton Mail oferece apelidos de e-mail por serviço, que você pode descartar se vazarem. A compartimentação não impede uma violação; ela impede que uma violação vire todas elas. (Para a versão mais aprofundada disso — pseudônimos e separação por jurisdição —, veja o trabalho de Cora sobre identidade autossoberana.)
Camada 4 — Blinde os identificadores que você não pode trocar. Alguns dados são permanentes: seu número de previdência social, sua data de nascimento, sua biometria. Como não dá para rotacioná-los, você os defende no ponto de uso. Nos Estados Unidos, congele seu crédito nas três grandes agências de crédito dos EUA — Equifax, Experian e TransUnion (as empresas que guardam seu histórico de crédito) —, o que bloqueia a abertura de novas contas em seu nome; é gratuito e reversível. Acrescente alertas de fraude. E migre seus logins importantes para a autenticação multifator baseada em hardware (MFA, segunda comprovação de identidade além da senha — aqui uma chave de segurança física, o fator mais forte), para que um número roubado, sozinho, não abra a porta. Esta é a única camada em que as listas de resposta a incidentes e esta arquitetura concordam — a diferença é que aqui se trata de higiene permanente, não de uma reação de pânico.
Camada 5 — Separe suas ferramentas e jurisdições. Distribua sua confiança entre provedores e regimes jurídicos que não sejam todos alcançáveis pelo mesmo ator. Mensageria criptografada para conversas sensíveis, uma VPN (rede privada virtual, que oculta sua atividade da sua rede) sem registros de atividade, como a Mullvad, para quebrar o vínculo entre sua rede e o que você faz, e armazenamento que não esteja concentrado sob uma única empresa ou um único governo. O objetivo é que nenhuma violação, intimação judicial ou relação com fornecedor, isoladamente, exponha o quadro inteiro.
Repare no que esta arquitetura não exige: ela não exige que a instituição seja confiável. É justamente esse o ponto. Cada camada é um controle que você detém, não uma promessa que te deram.
Se você já está exposto#
Se seus dados estão em uma dessas violações — e, estatisticamente, já estão —, os passos imediatos são poucos, mas vale fazê-los hoje, antes da arquitetura permanente acima. São os passos que eu trato como inegociáveis; encare isto como triagem, não como o tratamento completo.
- Congele seu crédito nos três bureaus (gratuito, on-line, reversível). É a ação isolada de maior alavancagem.
- Configure alertas de fraude nas suas contas financeiras e ative as notificações de transação.
- Presuma que os identificadores permanentes seguem comprometidos. Um número de previdência social vazado não expira; rotacione tudo o que der (senhas, números de conta) e defenda o resto no ponto de uso.
- Migre para MFA por hardware primeiro no e-mail e nas finanças — o e-mail é o caminho de recuperação de todo o resto.
- Fique atento ao phishing direcionado. Dados vazados deixam os golpes pessoais; quem te liga sabendo seus dados reais está usando informação vazada, não provando que é legítimo.
Esses passos fecham a janela imediata. A arquitetura em camadas é o que impede que a próxima violação — e haverá uma próxima — te custe caro do mesmo jeito duas vezes.
Perguntas frequentes#
Posso processar o governo por vazar meus dados?#
Às vezes, mas raramente é um remédio com que dá para contar. As regras de imunidade soberana, os tetos de indenização e a dificuldade de comprovar um dano específico tornam a ação judicial por violação do governo lenta e incerta. Trate a via judicial como um possível complemento posterior, não como defesa — sua arquitetura em camadas é o que de fato reduz sua exposição.
Congelar o crédito basta?#
Não, mas é a melhor ação isolada. O congelamento de crédito bloqueia a maior parte das fraudes de abertura de conta, porém nada faz contra o roubo de identidade médica, a fraude tributária ou o mau uso de um número de previdência social vazado fora de pedidos de crédito. Combine-o com alertas de fraude, MFA por hardware e compartimentação de identidade.
Se os dados já vazaram, defender-se não é inútil?#
Não. A maior parte do dano de uma violação acontece depois da exposição, quando os dados vazados são usados para abrir contas, se passar por você ou montar golpes direcionados. Congelar o crédito e reforçar seus logins bloqueia a etapa de exploração mesmo quando os dados subjacentes já estão soltos.
Isto vale só para os Estados Unidos?#
As especificidades mudam — o congelamento de crédito é um mecanismo dos EUA, e o caso do NHS é britânico —, mas a arquitetura é universal. Todo país agrega dados dos cidadãos e terceiriza o tratamento deles. Minimização, compartimentação e proteção dos identificadores permanentes valem onde quer que você viva.