O que é OSINT? Como dados públicos revelam sua vida inteira para hackers
Por Jaqueline Sousa • Editado por Jones Oliveira |
Por trás da falsa sensação de segurança que estar em um ambiente “controlado” na internet oferece, como o seu perfil no Instagram, onde você pode decidir quem pode ou não te seguir, é difícil passar pela cabeça do usuário comum que uma simples publicação de uma foto na plataforma da Meta pode resultar em danos catastróficos à privacidade.
- IA vai turbinar golpes em 2026: veja como se proteger
- Vírus, Worm e Trojan: Diferenciando os termos para não chamar tudo de "vírus"
Estamos falando justamente daquela imagem que você publica no Instagram durante um happy hour do trabalho, mostrando seus colegas de trabalho e a localização do rolê. Na hora da descontração, ninguém ao menos percebe que, em questão de minutos, um desconhecido pode saber exatamente onde você está, com quem você trabalha e como você vive.
Tudo isso sem precisar usar táticas de espionagem complexas ou ferramentas governamentais: basta ter acesso à internet, entrar no Google ou nas redes sociais e pronto. A pessoa mal-intencionada já consegue montar o seu quebra-cabeça digital graças ao poder do OSINT (Open Source Intelligence), ou Inteligência de Código Aberto, uma prática de coleta que pode ser inofensiva, mas que também pode ser usada para o mal.
O quebra-cabeça invisível
Antes de qualquer coisa, vamos entender exatamente o que é esse tal de “OSINT”. Em linhas gerais, o termo diz respeito à coleta e análise de dados que estão circulando livremente na internet, como redes sociais, fóruns, sites governamentais, entre outros.
Geralmente, essas informações são usadas para gerar conhecimento útil relacionado a questões de segurança cibernética, investigações e práticas jornalísticas, já que o rastro digital que deixamos pode ser utilizado para identificar ameaças ou gerar percepções acerca de um tópico específico.
Apesar de parecer estranho, o OSINT não configura uma prática ilegal ou invasiva, já que recorre a dados públicos disponíveis na web. Por outro lado, existe um lado sombrio que pode causar vários problemas para a vítima: o doxing.
Também apoiado em pesquisa, o doxing é uma prática de coletar e divulgar publicamente informações privadas, como documentos, endereços e telefones, sem o consentimento da pessoa afetada. Muitos criminosos ainda aproveitam esse “poder” para chantagear ou humilhar as vítimas com informações selecionadas, provocando diversos prejuízos ao usuário.
Vale mencionar ainda que o perigo dessa livre circulação de materiais não está isolada apenas em um único dado, mas na intersecção entre eles, pois o criminoso pode fazer associações com base na sua atividade online.
Os "pecados capitais" do compartilhamento
Na era digital, é difícil resistir à vontade de postar stories ou publicar imagens no Instagram dos lugares que você visita durante o fim de semana. Compartilhar com os seus amigos o que você está fazendo, para a sociedade atual, é uma ação tão simples quanto abrir os olhos de manhã.
Contudo, o compartilhamento da sua vida pessoal, principalmente voltados para localização ou outros dados sensíveis, pode se tornar um problema gigantesco, caso um cibercriminoso tenha você na mira. Alguns itens específicos, como crachás de trabalho, passagens e check-ins em aplicativos, podem ser um prato cheio para hackers mal-intencionados. Veja a seguir alguns dos principais problemas.
Viagens aéreas
No universo das viagens, você pode correr risco com o próprio código de barras ou QR Code da passagem, já que eles possuem um PNR (Passenger Name Record), ou Registro de Nome do Passageiro. Esse dado pode ser visto por qualquer pessoa que tenha acesso ao site da companhia aérea, que consegue identificar o seu passaporte, e-mail, telefone e muito mais.
O famoso crachá da firma
Uma prática comum no universo corporativo é conceder um crachá para o funcionário para que, assim, ele consiga ter acesso ao estabelecimento com tranquilidade e segurança. Mas ele também pode servir como ponte para ataques via OSINT.
Isso porque o simples ato de postar uma foto do seu crachá nas redes sociais pode abrir espaço para que um hacker copie o design e crie uma versão falsa, ou leia o código de barras para clonar o acesso. Vale notar ainda que o crachá revela seu cargo, o que pode virar motivo para um ataque de spear phishing.
Check-in em tempo real
Você está em um restaurante incrível e bateu aquela vontade de compartilhar com os seus seguidores o prato que você está comendo naquele exato momento? Poste apenas depois de sair do local.
A regra de ouro vale para que stalkers ou ladrões (que sabem que a sua casa vai estar vazia) não vejam a sua localização exata, mantendo a integridade intacta.
Metadados
Outro ponto que merece atenção envolve metadados. Isso porque uma foto não é somente os pixels que você vê: imagens carregam consigo “dados sobre dados”, informações que, embora ajudem na localização e gerenciamento em galerias, por exemplo, também podem revelar a localização de alguém.
O que ocorre é que fotos originais possuem etiquetas que trazem contexto sobre aquela imagem, informando sobre quem a criou, onde ela foi tirada, qual é o modelo da câmera e muito mais. Apesar desses dados serem comprimidos quando publicados em redes sociais, compartilhar imagens com metadados em fóruns pode revelar informações sensíveis sobre você.
Consequências na vida pessoal vs. corporativa
Existem diversas consequências que podem vir de dados públicos quando eles caem nas mãos de criminosos. Afinal, o risco vai muito além do próprio indivíduo, especialmente quando falamos sobre o mercado de trabalho, já que também envolve empregadores e a integridade dos negócios.
No âmbito pessoal, a vítima pode sofrer tentativas de roubo de identidade por meio do OSINT, assim como também virar vetor de abertura de contas laranjas, perseguição e stalking, e furtos residenciais.
Já no universo corporativo, o OSINT pode servir como base da engenharia social, pois o hacker terá acesso a uma série de informações pessoais do alvo que o ajudarão a orquestrar um ataque mais eficiente. Por exemplo: digamos que você ama cachorros (várias fotos publicadas no seu Instagram) e trabalha no mercado financeiro (está visível no seu LinkedIn). As duas informações ajudam o criminoso a montar um e-mail falso sobre “adoção de pets” que vem junto com um malware anexo.
Do lado menos “agressivo” da moeda, o OSINT também é usado por muitas empresas para monitorar o comportamento dos funcionários nas redes sociais, com casos de pessoas que já perderam o emprego por violar políticas de segurança das corporações as quais estão atreladas.
Paradoxo da privacidade
Falar de privacidade no contexto digital é quase a mesma coisa de entrar em um paradoxo. Afinal, se entregamos nossos dados por livre e espontânea vontade às redes sociais, sites e fóruns, por que deveríamos nos incomodar quando alguém tem acesso a essas informações?
O fato é que, apesar dos sentimentos contraditórios, vale frisar que o criminoso, nesse caso, não precisou invadir ou violar nenhum sistema para conseguir acessar nossos materiais pessoais. Nós mesmos abrimos a porta em meio a uma cultura de “overposting”, a famosa exposição exagerada. Tudo por alguns likes naquela foto da viagem ou para mostrar alguma conquista, como o trabalho novo.
Não há nada de errado em querer compartilhar essas informações com seus amigos e familiares na internet. É divertido fazer parte de uma comunidade. O problema, porém, é como fazemos isso. Expor demais dados pessoais pode gerar resultados catastróficos para quem está envolvido, principalmente para você.
Guia de sobrevivência
Embora a privacidade no meio online seja algo difícil de ser alcançado (se é que de fato existe), é possível aplicar algumas medidas simples no seu dia a dia para evitar que a sua pegada digital seja facilmente decifrada por criminosos.
Confira a seguir quatro dicas rápidas e eficientes de aumentar a segurança dos seus dados na internet:
- Tranque seus perfis em redes sociais para desconhecidos. Fechar a conta oferece um maior controle sobre quem pode ou não acessar suas publicações, evitando que desconhecidos vejam o que você posta.
- Aposte na técnica do “poste depois”. Sabemos que é difícil resistir à vontade de publicar uma foto daquele ponto turístico europeu que você tanto sonhou em conhecer na hora da viagem. Porém, guardar essas imagens para publicá-las quando você estiver em casa pode evitar dor de cabeça.
- Desfoque ou cubra informações sensíveis. Nunca publique imagens ou documentos sem cobrir todos os dados confidenciais, como registros, endereços e telefones. A melhor dica, porém, é nunca postar esse tipo de conteúdo para pecar pelo excesso.
- Faça uma limpeza digital. Revisite postagens antigas que podem revelar respostas de segurança, por exemplo, como nomes de cachorros, escolas, livros preferidos, entre outros.
Vale reforçar ainda que a privacidade absoluta pode até ser impossível, mas saber como dificultar a vida do criminoso é fundamental para tentar manter as suas informações intactas.
Leia também: