Seguranca Pessoal Anti-Doxxing: Removendo Dados de Data Brokers em PT-BR

Voce digita seu nome no Google e encontra CPF parcial, endereco antigo, telefone da sua mae e foto do casamento da sua irma indexada num site de genealogia. Isso nao e paranoia, e o estado padrao de qualquer brasileiro com mais de 25 anos online. A equipe Basilisk trata doxxing como uma cadeia de suprimentos: cada broker, cada vazamento do Serasa de 2021, cada perfil no Facebook de 2009 e um no na rede. Cortar todos da uma sensacao falsa de controle; cortar os 12 nos certos reduz 90% do risco real. Este guia e o mesmo runbook que aplicamos em clientes alvo de stalkers, ex-funcionarios revoltados e grupos extremistas.

Antes de qualquer remocao, faca o OSINT contra voce mesmo. Abra uma VM descartavel, navegador limpo sem login e rode buscas estruturadas: nome completo entre aspas, nome + cidade, nome + CPF parcial (xxx.123.xxx-xx), telefone com e sem DDI, email principal e seus aliases. Catalogue tudo numa planilha com colunas url, broker, dado exposto, prioridade, status. Ferramentas como Maltego CE, Spiderfoot e holehe automatizam parte disso; veja o passo a passo em OSINT Etico: Investigando Sua Propria Pegada Digital com Maltego e Spiderfoot. Sem inventario voce vai remover sintoma e deixar a raiz. Espere encontrar entre 40 e 200 ocorrencias unicas, e normal.

No Brasil os brokers que mais aparecem em primeira pagina sao Tudo Sobre Todos, Telelistas, ConsultasBrasil, Quem Sou Eu, Encontre uma Pessoa, Cadastros BR e agregadores tipo 4devs e Consulta CPF. Cada um tem um fluxo de opt-out diferente: Tudo Sobre Todos aceita formulario com print do RG; Telelistas exige email registrado para o numero; ConsultasBrasil ignora pedidos sem mencao explicita a LGPD artigo 18. Modelo de email padrao: assunto 'Solicitacao de exclusao - LGPD Art. 18, V', corpo citando o link especifico, prazo de 15 dias e aviso de denuncia a ANPD. Mantenha tudo por escrito, jamais ligue. Em 60% dos casos a remocao sai em 7 a 20 dias.

Redes sociais sao o vetor mais subestimado. O Facebook de 2010 ainda tem seu telefone publico em 'Sobre'; o LinkedIn vaza sua cidade exata pelo campo de localizacao; o Instagram expoe geotags em stories antigas; o Strava publica seu trajeto de corrida diaria saindo de casa. Faca auditoria por plataforma com checklist: privacidade do perfil, visibilidade de amigos, posts antigos em massa, apps de terceiros conectados, sessoes ativas. Para fotos antigas, rode exiftool e mat2 antes de republicar qualquer coisa, o procedimento esta em Higiene de Metadados: Limpando EXIF, PDF e Office antes de Publicar. Compartimentar identidades publica e privada com contas separadas e o passo seguinte, detalhado em Compartimentacao Digital: Identidades Separadas sem Vazar Metadados.

Dados governamentais e judiciais sao um caso a parte. Diarios oficiais, processos do TJSP, JusBrasil, Escavador e Jusbrasil reindexam decisoes com seu CPF e endereco. JusBrasil aceita pedido de desindexacao via formulario citando LGPD; Escavador exige procuracao ou documento. Para processos em segredo de justica indevidamente publicos, o caminho e peticao direta no tribunal. Cartorios de protesto e Junta Comercial vazam endereco residencial quando voce e socio de MEI; troque o endereco para um coworking ou caixa postal antes de abrir empresa. Se voce e alvo visivel jornalista, ativista, executivo o modelo de ameaca muda completamente e o guia em Seguranca Pessoal para Alvos Visiveis: Jornalistas, Ativistas e Executivos cobre os controles extras.

Telefone e email merecem tratamento cirurgico. Crie um numero VoIP (Google Voice via familiar nos EUA, ou eSIM internacional) para cadastros publicos e MEI; mantenha o numero real apenas para banco, MFA critico e familia proxima. Para email, use aliases SimpleLogin ou addy.io: um alias por servico, queimavel sob ataque. Migre MFA por SMS para passkeys ou TOTP em token fisico conforme Senhas e MFA: Migrando para Passkeys sem Quebrar sua Recuperacao. Para comunicacao sensivel com fontes ou advogados, Signal com numero descartado e o minimo; SimpleX sem identificador algum e o ideal, ver OPSEC de Comunicacao: Signal, SimpleX e Session Comparados Tecnicamente. Defina antes seu modelo de ameaca pessoal seguindo OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal, porque protocolo sem modelo vira teatro.

Por fim, automatize a manutencao. Brokers republicam dados a cada 3 a 6 meses comprando bases novas. Crie um cron mensal que rode buscas Google com site:tudosobretodos.com.br SEU_NOME e similares, alertando por email quando algo reaparece. Mantenha um dossie versionado em Git privado com prints, emails enviados, prazos e protocolos ANPD. Em caso de doxxing ativo, congele credito no Serasa e Boa Vista, registre BO eletronico, notifique plataformas com pedido de remocao emergencial e acione advogado. Takeaway pratico: bloqueie a proxima quarta-feira de 14h as 18h, faca o OSINT contra si mesmo, dispare os 12 primeiros opt-outs prioritarios e agende a revisao para daqui a 60 dias. Privacidade nao e estado, e processo continuo.