Em 2025, os casos mais graves de invasão e vazamento de dados no mundo foram marcados por um criminoso que entrou com login e senha válidos. Sem exploit sofisticado, nem zero-day. Só acesso.
Os casos que definiram o ano
Snowflake — Credenciais roubadas abriram caminho para ataques coordenados à AT&T, Ticketmaster e Santander. Segundo a Mandiant, 80% das contas comprometidas já tinham senhas vazadas anteriormente. Ninguém tinha revogado.
Change Healthcare — Uma única credencial comprometida expôs dados de 192 milhões de pessoas. É o maior vazamento de saúde da história dos Estados Unidos.
Marks & Spencer — Bastou engenharia social no help desk para o atacante conseguir acesso administrativo. O prejuízo estimado foi de £40 milhões por semana durante a crise.
Esses três casos ilustram o padrão. O invasor não precisou derrubar nenhuma barreira técnica. Ele simplesmente entrou pela porta da frente.
O que dizem os dados
O Verizon Data Breach Investigations Report 2025 mostra que 22% dos vazamentos começam com credenciais roubadas. Em ataques a aplicações web, esse número salta para 88%.
E o problema não é só a frequência. É o tempo de detecção. Segundo o IBM Cost of a Data Breach Report 2024, ataques baseados em credenciais levam em média 292 dias para serem identificados. Quase dez meses de alguém circulando pela rede corporativa como se fosse um colaborador qualquer.
Credencial legítima em mãos erradas não dispara alarme. Os controles tradicionais veem apenas um usuário autenticado executando ações que, isoladamente, parecem normais.
Governança esquecida
Ambientes mudam. As pessoas trocam de função, saem da empresa, acumulam acessos que não usam mais. Contas de serviço ficam ativas sem dono. Permissões concedidas em caráter excepcional se tornam permanentes. E ninguém revisa.
O Microsoft State of Multicloud Security Report 2024 traz que apenas 2% das permissões concedidas a identidades corporativas são efetivamente usadas. Os outros 98% representam superfície de ataque disponível para quem conseguir acesso.
Se o colaborador não usa a permissão, o criminoso usa.
O que é perímetro hoje?
Hoje, com adoção massiva de nuvem, trabalho remoto e integração constante com terceiros, o perímetro se diluiu. O que sobrou foi a identidade. E ela se tornou o principal vetor de ataque. Isso exige uma mudança de postura. Governança de identidade não pode mais ser tratada como pauta de compliance ou projeto pontual de adequação. É linha de frente da estratégia de segurança.
Organizações que levam identidade a sério precisam revisitar alguns fundamentos:
- Revisão periódica de acessos e permissões, com foco em contas inativas e privilégios acumulados;
- Autenticação multifator como padrão, não como exceção;
- Monitoramento de comportamento para identificar uso anômalo de credenciais legítimas;
- Processos claros de offboarding que revoguem acessos no mesmo dia do desligamento;
- Visibilidade sobre contas de serviço e identidades não humanas.
Não são recomendações novas. O que mudou é a urgência. Os casos de 2025 mostram que credenciais mal gerenciadas deixaram de ser risco teórico e se tornaram vetor preferido dos atacantes.
