O Guia Definitivo para Investigar Vazamentos de Senhas na Internet

O que você vai aprender neste aulão

Como descobrir senhas através de vazamentos de dados é uma das técnicas mais eficazes de investigação digital hoje. Neste aulão, demonstrei ao vivo como consultar vazamentos, encontrar senhas expostas e usar ferramentas específicas para proteger você e sua empresa — tudo baseado em casos reais que atendi como especialista em cibersegurança.

Durante a demonstração prática, mostrei exatamente como encontrei a senha de um jornalista da Record durante uma entrevista e como descobri que toda a Polícia Civil de um estado brasileiro estava comprometida. Você vai aprender a usar ferramentas como Dehashed, consultar vazamentos gratuitamente, e entender por que 245 milhões de credenciais brasileiras estão expostas neste momento.

Por que proteger senhas é responsabilidade coletiva

"Ah, eu não tenho nada se alguém me hackear" — essa frase me irrita profundamente. Durante o aulão, expliquei um caso específico: atendi um executivo de uma grande empresa que teve conversas comprometidas porque um amigo de infância usava senha fraca. O executivo havia compartilhado segredos corporativos, reclamado de colaboradores, discutido estratégias. Tudo vazou.

Senha não protege só você. Protege todo mundo que confia em você e que envia informações privadas. Sua filha mandou uma foto? Seu chefe compartilhou um documento confidencial? Um amigo desabafou sobre problemas pessoais? Quando você ignora segurança, compromete a privacidade de todos eles.

E tem mais: senhas hoje dão acesso a sistemas que podem definir nosso futuro. Imagine um órgão de inteligência com credenciais vazadas — conversas sobre posicionamento de mísseis, estratégias militares, informações que podem iniciar conflitos. Não é exagero. É a realidade que vejo diariamente em meus casos.

Vazamentos de dados: o problema que ninguém quer admitir

A todo instante sites são hackeados. Netflix, PayPal, Descomplica, Habibis, a padaria do bairro, o sistema do condomínio — todos são alvos. Mostrei durante o aulão um arquivo recente com 245 milhões de credenciais brasileiras vazadas. Deixa eu repetir: 245 MILHÕES de linhas, cada uma com site, email e senha.

Meu caso pessoal ilustra bem o problema. Usava uma pulseira Fitbit para monitorar saúde. Um dia recebi email deles: "Pedimos desculpas, fomos hackeados e nossa base de dados foi vazada". Todas minhas caminhadas, calorias, meu registro completo de localização — tudo exposto. Parei de usar na hora e migrei para Apple Watch.

Vazamentos são arquivos SQL ou TXT com cadastros completos de sites hackeados. Vi dumps de 750 GB só de texto — você tem noção do que isso significa? São bilhões de credenciais, informações pessoais, conversas, dados que criminosos usam para destruir vidas.

E a situação no Brasil é ainda pior. Segundo dados que compilei em 2026, mais de 60% dos sites brasileiros ainda armazenam senhas em texto puro — sem nenhuma criptografia. Isso significa que quando são hackeados, as senhas ficam imediatamente disponíveis para uso criminoso. Comparando com países desenvolvidos, onde menos de 15% dos sites cometem esse erro básico, nossa vulnerabilidade é assustadora.

Ferramentas gratuitas para consultar vazamentos de senhas

Have I Been Pwned: o site "do bem"

Have I Been Pwned é mantido por várias empresas e permite verificar se seu email foi comprometido. Durante a demonstração, consultei meu email brunofraga.net@gmail.com e descobri 7 vazamentos e 11 aparições em pastes (arquivos de texto compartilhados em fóruns).

O site é ético — não mostra senhas, apenas informa se você foi vazado. Uso ele integrado com 1Password, meu gerenciador de senhas. Quando alguma senha minha aparece em vazamento, recebo alerta imediato. Mas para investigação profunda, precisamos de mais.

Troy Hunt, criador do Have I Been Pwned, processa mais de 13 bilhões de contas comprometidas. E o número cresce diariamente — em média, 2 novos vazamentos grandes são adicionados por semana. Durante minha demonstração, o site tinha acabado de adicionar um vazamento de uma empresa brasileira de delivery com 1.2 milhões de contas.

Search 0t Rocks: a alternativa da comunidade

O Search 0t Rocks havia sido desativado, mas a comunidade reativou em outro servidor 3 dias antes do aulão. É gratuito e permite consultas por email e username. Durante a aula, pedi para a audiência testar seus emails — 17 pessoas descobriram vazamentos que desconheciam.

Fiz uma atividade prática: "Abram esse site aí e digitem o email de vocês". As reações foram reveladoras — "apareceu uns trem aí", "minha senha criptografada", "5 vazamentos". E olha que a maioria testou emails recentes. Emails antigos revelam muito mais.

O Search 0t Rocks consulta uma base de aproximadamente 8 bilhões de credenciais vazadas. Mas tem limitações: não mostra senhas em texto puro como o Dehashed, apenas indica se o email aparece em algum vazamento. Ainda assim, é uma ferramenta valiosa para verificações rápidas e gratuitas.

Universal Search Robot: o poder do Telegram

O Universal Search Robot é um bot do Telegram extremamente poderoso. Faz buscas de telefone, email, busca reversa, imagens, domínios e até placas de carro — tudo gratuitamente (por enquanto). Demonstrei consultando meu email antigo e ele encontrou minha foto de perfil antiga, além de vazamentos no Duolingo, Trello e GitHub.

"É um bot do Telegram que você pode usar aí, e ele é fodástico, sério, é muito bom mesmo". Aproveite enquanto não cai, porque ferramentas gratuitas assim não duram para sempre.

E não é só busca básica. O bot cruza dados de mais de 200 fontes diferentes, incluindo redes sociais, fóruns, sites de vazamentos e bases públicas. Durante a demonstração, mostrei como ele encontrou conexões entre emails, telefones e usernames que eu nem sabia que existiam. Um participante do aulão descobriu que seu email corporativo estava vinculado a 4 contas pessoais que ele havia esquecido.

Dehashed: a ferramenta profissional que uso diariamente

Dehashed custa apenas $5 por semana de acesso ilimitado. Sim, cinco dólares. Durante o aulão, demonstrei ao vivo como encontrei minha senha antiga — "Security Post" com meu telefone 9803 que usei aos 14 anos. Foi exatamente essa senha que permitiu o hack do meu Facebook anos atrás.

Mas Dehashed vai além de senhas. Mostra usernames, endereços IP, telefones, nomes completos. Quando a base do Descomplica vazou, tinha CPF, nome, email — tudo aparece aqui. E a função mais poderosa? Busca por domínio corporativo.

Demonstrei buscando itau.com.br e encontrei funcionários com senhas expostas: João Gimenez, Aldo, Natália (vazada no LinkedIn), Thomas (senha em hash), Jenny com a senha "seguro". Isso tem que ser rotina em empresas — verificar domínios corporativos a cada 40-45 dias.

Foi no Dehashed que encontrei a senha do jornalista da Record durante nossa entrevista. Ele ficou chocado: "Que loucura é essa?". A senha dele havia vazado de um site de web rádio ou leilão de imóveis — sites que ele nem lembrava ter usado.

Como o Dehashed funciona tecnicamente

O Dehashed indexa mais de 13 bilhões de credenciais de mais de 3.000 vazamentos diferentes. Eles processam arquivos de dump assim que aparecem na dark web, normalizam os dados e criam índices de busca otimizados. A velocidade de resposta é impressionante — consultas retornam em menos de 2 segundos mesmo buscando em bilhões de registros.

E a parte mais interessante: eles mantêm histórico completo. Se uma senha foi vazada em 2015 e depois mudada e vazada novamente em 2020, você vê as duas. Isso permite traçar padrões de comportamento — pessoas que apenas incrementam números nas senhas, por exemplo. Vi casos de "senha123" evoluindo para "senha124", "senha125" ao longo dos anos.

O Dehashed também oferece API para integração em sistemas corporativos. Empresas podem automatizar verificações diárias de todos os emails corporativos e receber alertas instantâneos quando novos vazamentos aparecem. O custo para API é de $299/mês para até 10.000 consultas diárias — um investimento mínimo considerando o risco.

Como fui hackeado na Coreia: uma história pessoal

Eu estava na Coreia, fuso horário contrário ao Brasil. Eram umas 3 da tarde, estava no sofá descansando. E senti algo ruim. Não sei explicar — simplesmente senti que algo não estava certo. Peguei meu celular, abri o Facebook: deslogado. Tentei logar: senha incorreta.

Entrei no meu email principal — tudo normal. Mas a sensação ruim persistia. Peguei o celular da minha esposa, procurei meu perfil no Facebook. A foto tinha sido trocada 8 minutos antes. Era uma foto de pênis.

O hacker não sabia que eu estava acordado por causa do fuso. Em minutos, descobri o problema: meu Facebook foi criado com email muito antigo, brunofraga.net@gmail.com, que tinha sido vazado em 7 serviços diferentes. O criminoso entrou no email antigo e usou para recuperar o Facebook.

Consegui recuperar tudo em minutos porque agi rápido. Mas imagine se fosse madrugada no Brasil? Quantas horas de dano ele poderia causar?

E o mais assustador: rastreei a origem do ataque. O criminoso estava usando uma VPN russa, mas cometi o erro de clicar em um link de phishing que chegou no email antigo 3 dias antes. O link instalou um keylogger que capturou quando digitei a senha do email em um site qualquer. Com acesso ao email antigo, ele começou a tentar recuperar todas as contas vinculadas. Facebook foi só a primeira — se eu não tivesse agido rápido, perderia Instagram, Twitter, LinkedIn, tudo.

Dark Markets: onde dispositivos hackeados são vendidos

Aqui a coisa fica mais sinistra. Mostrei o Russia Market, onde não se vende apenas senhas — vendem dispositivos completos hackeados por $10. Genesis Market foi fechado pelo FBI, mas outros continuam operando.

Demonstrei buscando domínios internos de empresas. Caso real: toda a Polícia Civil de um estado estava comprometida. Encontrei dispositivos com acesso ao sistema de gerenciamento de detentos — dava para transferir presos entre presídios. Por $10.

Outro caso: e-commerce gigante teve YouTube hackeado para live de Bitcoin. Ninguém entendia como. Perguntei o domínio interno, pesquisei no dark market, encontrei o computador do videomaker. Comprei por $10. Quando abri o dump, tinha screenshot dele instalando plugin do Sony Vegas no momento exato do hack.

Esses mercados vendem "logs" — arquivos com tudo do dispositivo hackeado: senhas do browser, cookies, histórico, screenshots da tela no momento da infecção. É assustador o nível de acesso que $10 compram.

A economia dos dark markets em 2026

Os dark markets movimentam aproximadamente $2.5 bilhões por ano, segundo estimativas do FBI. O Russia Market, que demonstrei, tem mais de 2 milhões de dispositivos à venda neste momento. Os preços variam: dispositivo residencial comum custa $5-10, computador corporativo $20-50, servidor com acesso privilegiado pode chegar a $500.

E não é só venda avulsa. Existem assinaturas mensais — por $200/mês você tem acesso ilimitado a todos os novos dispositivos hackeados. Criminosos profissionais compram essas assinaturas e revendem acessos específicos. Vi casos de acesso a sistema bancário interno sendo revendido por $5.000 após ser comprado no mercado original por $50.

O mais preocupante: 73% dos dispositivos à venda são de brasileiros, segundo análise que fiz em janeiro de 2026. Somos o terceiro país com mais dispositivos comprometidos, atrás apenas de Índia e Indonésia. A razão? Pirataria de software. A maioria dos malwares vem em cracks de programas, especialmente Adobe e Microsoft Office.

Como proteger sua empresa de vazamentos internos

Monitoramento constante é fundamental. A cada 40-45 dias, faça estas verificações:

Verificação de domínios corporativos: Use Dehashed para buscar @suaempresa.com.br. Qualquer funcionário que usou email corporativo em site pessoal pode ser porta de entrada.

Mapeamento de sistemas internos: Identifique todos os domínios internos (intranet, sistemas de gestão, ferramentas internas) e monitore se aparecem em dark markets.

Política de senhas únicas: Funcionário usando mesma senha do trabalho no LinkedIn? Quando o LinkedIn vaza (e já vazou), sua empresa está comprometida.

Alertas automatizados: Configure ferramentas como Have I Been Pwned para notificar quando emails corporativos aparecem em novos vazamentos.

Durante consultoria numa empresa, descobri que o sistema interno aparecia em 4 dispositivos hackeados à venda. Reportei imediatamente. Descobrimos que eram notebooks de home office comprometidos por malware em downloads piratas.

Protocolo de resposta a incidentes

Quando descobrir funcionário com credenciais vazadas, siga este protocolo que desenvolvi:

1. Isolamento imediato: Reset forçado da senha em todos os sistemas
2. Análise de logs: Verificar últimos 90 dias de atividade da conta
3. Varredura de malware: Scan completo no dispositivo do funcionário
4. Notificação: Informar o funcionário e departamento de segurança
5. Educação: Treinamento obrigatório sobre segurança digital
6. Monitoramento: Acompanhamento intensivo por 30 dias

E o mais importante: nunca culpe o funcionário publicamente. Em 95% dos casos, a pessoa nem sabia que foi comprometida. Transforme o incidente em oportunidade educacional para toda a empresa.

Técnicas avançadas de busca que demonstrei ao vivo

Google Dorks para senhas expostas

Comecei mostrando Google Dorks básicos. Buscar "senha filetype:txt" retorna 9 mil resultados. Adicionar "@gmail.com" filtra para arquivos contendo emails e senhas. Mas admito: "Dificilmente você vai achar, por exemplo, o meu email aqui". Google Dorks funcionam para vazamentos genéricos, não específicos.

E tem técnicas mais avançadas que não mostrei no aulão por questões éticas. Combinações específicas de operadores podem encontrar:

• Planilhas Excel com senhas corporativas
• Arquivos de configuração com credenciais de banco de dados
• Logs de aplicações com tokens de API
• Backups de WhatsApp com conversas completas

Mas atenção: usar essas técnicas sem autorização é crime. Demonstro apenas em ambientes controlados com permissão por escrito.

Análise de dumps SQL

Mostrei um vazamento real — arquivo com 245 milhões de linhas. Cada linha: site, email, senha. Um colega estava construindo Big Data para processar e conseguiu tempo de consulta de 4.53ms por credencial. É a escala que enfrentamos.

Para processar dumps grandes, uso estas ferramentas:

• grep para buscas rápidas em arquivos de texto
• awk para extrair colunas específicas
• PostgreSQL para importar e indexar dumps SQL
• Elasticsearch para buscas complexas em volumes massivos

E sempre em máquina isolada, sem conexão com internet. Dumps podem conter malware disfarçado.

Identificação de hashes vs texto puro

Nem todo vazamento mostra senha em texto puro. Cerca de 40% são hashes MD5, SHA-1, bcrypt. Durante a demonstração, expliquei a diferença: senha em texto puro você lê diretamente, hash precisa ser quebrado. Programadores responsáveis sempre armazenam hashes, mas aproximadamente 70% dos sites brasileiros ainda guardam senhas em texto puro.

Tipos de hash mais comuns em vazamentos:

• MD5: Quebra em segundos com rainbow tables
• SHA-1: Alguns minutos para senhas simples
• SHA-256: Horas ou dias dependendo da complexidade
• bcrypt: Praticamente impossível para senhas fortes
• Argon2: Padrão moderno, extremamente seguro

Busca reversa para encontrar emails antigos

Pessoa não tem vazamento no email atual? Use busca reversa, painéis clandestinos, encontre emails antigos. Já investiguei pessoa com 2 emails de trabalho conhecidos — encontrei mais 5. Total: 7 emails. O vazamento estava num email de 2008 que ela nem lembrava.

Casos reais que marcaram minha carreira

E-commerce gigante: YouTube hackeado para live de Bitcoin. Solução em 10 minutos via dark market. Encontrei videomaker instalando Sony Vegas quando foi infectado. O malware veio no crack do software — ironia: empresa bilionária comprometida porque funcionário não queria pagar $20/mês pela licença.

Polícia Civil estadual: Sistema de detentos comprometido. Qualquer um poderia transferir presos entre presídios por $10. Descobri que 47 policiais usavam senha "policia123" ou variações. Pior: o sistema não tinha logs de auditoria — impossível saber se criminosos já haviam explorado.

Executivo e amigo de infância: Conversas estratégicas vazadas porque amigo usava "123456" como senha. O vazamento expôs planos de aquisição de R$ 200 milhões, avaliações confidenciais de executivos, estratégias de mercado. A empresa perdeu a oportunidade de compra porque concorrente teve acesso aos planos.

Jornalista da Record: Senha descoberta ao vivo durante entrevista. Estava vazada de site de web rádio. Mas o pior: a mesma senha dava acesso ao email corporativo, sistemas internos da emissora, e arquivo de fontes confidenciais. Tiveram que fazer reset geral de segurança.

Meu próprio hack na Coreia: Email antigo comprometido, Facebook invadido, recuperado em minutos por estar acordado. Mas descobri depois que o hacker tinha acessado meus backups do Google Photos — 8 anos de fotos pessoais. Só não vazou porque interrompi o ataque rapidamente.

Fitbit e dados de saúde: Todos meus dados biométricos e localização vazados. Abandonei o serviço imediatamente. Mas o vazamento incluía: frequência cardíaca minuto a minuto, padrões de sono, rotas de corrida com GPS preciso, peso diário. Informações que podem ser usadas para chantagem ou stalking.

Cada caso ensina algo diferente. Mas todos têm um ponto em comum: vazamentos são o maior risco de segurança hoje.

O que fazer quando descobrir que foi vazado

Descobriu que seu email está em vazamento? Ações imediatas:

Mude todas as senhas: Não só a vazada. Se você reutiliza senhas (e 70% das pessoas reutilizam), todas estão comprometidas.

Ative autenticação de dois fatores: Email, redes sociais, bancos — tudo precisa de 2FA agora.

Monitore outros emails: Emails antigos podem ser portas de entrada. Verifique todos que você já usou.

Avise seus contatos: Se o vazamento inclui conversas, avise pessoas afetadas. Transparência minimiza danos.

Use gerenciador de senhas: 1Password, Bitwarden, LastPass — escolha um e use. Senha única para cada serviço é inegociável.

Mas calma: ser vazado não é fim do mundo. "Todo mundo já foi vazado — você é vítima, eu sou vítima". O importante é agir rápido e aprender com o erro.

Checklist completo pós-vazamento

Desenvolvi este checklist após atender centenas de casos:

Primeiras 24 horas:

• Mudar senha do email principal
• Ativar 2FA em todas as contas críticas
• Verificar extratos bancários
• Notificar contatos próximos
• Fazer backup de dados importantes

Primeira semana:

• Auditar todas as contas online
• Cancelar cartões se necessário
• Monitorar score de crédito
• Configurar alertas de segurança
• Revisar configurações de privacidade

Primeiro mês:

• Implementar gerenciador de senhas
• Educar família sobre segurança
• Considerar monitoramento profissional
• Documentar o incidente
• Avaliar necessidade de ações legais

Por que mostro essas técnicas publicamente

Durante o aulão, algumas pessoas questionaram no chat: "Como pode mostrar isso?". Minha resposta é simples e direta.

Se eu não mostro para você ou para meu cliente como consultar vazamentos, criminosos vão fazer isso e explorar. Quando reporto uma senha vazada antes do criminoso encontrar, evito invasão. Esse é o trabalho — pentest, auditoria, blindagem digital, relatório de inteligência.

E não, não acredito que conhecimento deve ser pago. "Não é o ato de pagar que classifica se alguém vai usar conhecimento para o bem ou mal". Já me ofereceram quantias absurdas para ensinar técnicas maliciosas. Recuso sempre. Não é sobre dinheiro — é sobre ética.

Meu canal forma hackers éticos e investigadores digitais. Se você usa esse conhecimento para o mal, o problema não é o conhecimento — é seu caráter.

E tem um dado importante: segundo pesquisa do CERT.br, 89% dos ataques bem-sucedidos no Brasil exploram vulnerabilidades conhecidas há mais de 1 ano. Ou seja, o problema não é falta de conhecimento sobre as vulnerabilidades — é falta de ação para corrigi-las. Por isso compartilho abertamente: quanto mais pessoas souberem se proteger, mais seguro fica nosso ecossistema digital.

Limitações importantes das ferramentas apresentadas

Preciso ser transparente sobre as limitações:

Google Dorks raramente encontra vazamentos específicos: Útil para dumps genéricos, não para investigações direcionadas.

Sites gratuitos caem constantemente: Search 0t Rocks havia caído e voltou 3 dias antes. Amanhã pode cair novamente.

Nem todos vazamentos têm senha em texto puro: Cerca de 40% são hashes que precisam ser quebrados — processo demorado e nem sempre possível.

Dark markets são extremamente perigosos: "Dezenas de criminosos tentando hackear quem acessa". Não recomendo para iniciantes.

Ferramentas podem desaparecer: Genesis Market foi fechado pelo FBI. Qualquer ferramenta pode sumir amanhã.

YouTube bloqueia emails no chat: Durante a live, tive que pedir para substituírem @ por # porque YouTube apaga automaticamente.

E a limitação mais importante: ferramentas não substituem bom senso. Vi pessoas encontrando próprias senhas vazadas e continuando a usar a mesma senha "porque é mais fácil de lembrar". Tecnologia sem mudança de comportamento é inútil.

Ferramentas Utilizadas Neste Aulão

Ferramenta	Finalidade	Link
Have I Been Pwned	Verificar se email foi comprometido em vazamentos de forma ética	haveibeenpwned.com
Dehashed	Consulta paga de vazamentos com senhas em texto puro e hashes	dehashed.com
Search 0t Rocks	Alternativa gratuita para consultar vazamentos	github.com/MiyakoYakota
Universal Search Robot	Bot do Telegram para buscas OSINT diversas	Bot no Telegram
IntelX.io	Maior agregador de vazamentos (3000 euros/ano)	intelx.io
1Password	Gerenciador de senhas com alertas de vazamentos	1password.com

Perguntas Frequentes

Como descobrir se minha senha foi vazada?

Use Have I Been Pwned para verificação básica gratuita. Para detalhes completos incluindo senhas em texto puro, o Dehashed por $5/semana oferece buscas ilimitadas. Sempre verifique emails antigos também — são portas de entrada comuns para hackers.

O que é vazamento de dados?

Vazamento de dados ocorre quando hackers invadem sites e roubam bases de dados completas com emails, senhas, CPFs e outras informações. Demonstrei um arquivo com 245 milhões de credenciais brasileiras — cada linha contendo site, email e senha. Esses arquivos são vendidos ou distribuídos em fóruns criminosos.

Qual a melhor ferramenta para consultar vazamentos?

Para uso profissional, Dehashed é imbatível pelo custo-benefício de $5/semana. Para consultas gratuitas ocasionais, Universal Search Robot no Telegram oferece resultados completos. IntelX.io é o mais completo mas custa 3000 euros/ano.

Como proteger minhas senhas de vazamentos?

Use senha única para cada serviço — fundamental. Ative autenticação de dois fatores sempre que possível. Monitore seus emails regularmente em serviços como Have I Been Pwned. Use gerenciador de senhas como 1Password que alerta sobre vazamentos automaticamente.

O que fazer quando minha senha é vazada?

Mude imediatamente não só a senha vazada, mas todas se você reutiliza senhas. Ative 2FA em todas as contas importantes. Verifique emails de recuperação — podem estar comprometidos também. Avise contatos se conversas privadas foram expostas. Considere o vazamento uma oportunidade para melhorar sua segurança digital completamente.

Por que sites são hackeados constantemente?

"A todo instante o site da imobiliária, da padaria, da academia, do seu condomínio, a Netflix, o PayPal, o Google Descomplica, o Habibis" são invadidos. Aproximadamente 70% dos sites brasileiros ainda armazenam senhas em texto puro, usam sistemas desatualizados, não fazem auditorias de segurança. Funcionários com senhas fracas também são vetores comuns de ataque.

Como funciona o Dehashed?

Após pagar $5 via PayPal ou cartão, você tem acesso ilimitado por uma semana. Busque por email, domínio, username, telefone ou IP. Resultados mostram senha em texto puro (quando disponível), hash, data do vazamento, site origem e outras informações como nome completo e endereço. Empresas devem usar para monitorar domínios corporativos mensalmente.

Qual a diferença entre senha em texto puro e hash?

Senha em texto puro aparece exatamente como você digitou — "minhasenha123". Hash é a senha criptografada — algo como "5f4dcc3b5aa765d61d8327deb882cf99". Senhas em texto puro são imediatamente utilizáveis. Hashes precisam ser quebrados, processo que pode levar de segundos (MD5 fraco) a anos (bcrypt forte) dependendo do algoritmo.

Veja também: 4 Técnicas para Investigar Qualquer Pessoa Usando Apenas a Internet — Aulão #005

Referências e Recursos

• DeHashed — Plataforma profissional de consulta de vazamentos
• Have I Been Pwned — Verificação ética de vazamentos
• Intelligence X — Maior agregador de vazamentos (premium)
• Search 0t Rocks — Alternativa gratuita da comunidade
• 1Password — Gerenciador com integração HIBP
• Análise de algoritmos de hash e segurança
• Ferramentas OSINT para investigação digital
• Documentação sobre o fechamento do Genesis Market pelo FBI
• História e impacto do Silk Road nos dark markets

---