OSINT Etico: Investigando Sua Propria Pegada Digital com Maltego e Spiderfoot

Voce ja foi doxxado e nem sabe. Em uma manha de domingo recente, rodei Spiderfoot HX contra meu proprio email principal e recebi 412 hits em 38 minutos: brokers brasileiros como ReclameAqui e Serasa, dumps antigos do Collection #1, um perfil esquecido no Last.fm de 2011 com a mesma foto que uso no LinkedIn, e dois forums tecnicos onde postei minha cidade no bio. Nenhum desses pontos sozinho e perigoso. Combinados, eles entregam endereco aproximado, faixa salarial provavel, stack tecnico e ate horario que costumo dormir. Esse e o ponto cego que OSINT etico contra si mesmo resolve, e e por isso que vale comecar antes do adversario comecar.

Maltego Community Edition continua sendo o ponto de partida mais didatico em 2026. Instale a versao 4.6, crie uma conta gratuita e ative os transforms padrao do Hub: Have I Been Pwned, Shodan free tier, DNS e WhoisXML. Crie um Entity do tipo Email Address com seu endereco primario, clique direito e rode To Breaches [HIBP]. Em seguida arraste um Phrase com seu nome completo e execute To Websites [using Search Engine]. O grafo cresce rapido, e o pulo do gato e aplicar a aba Collections para colapsar nos antes de virarem espaguete visual. Documente cada novo no com tags coloridas: vermelho para PII real, amarelo para pseudonimos, verde para descartavel. Esse cuidado de OPSEC inicial casa com o que OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal discute em profundidade.

Spiderfoot complementa Maltego onde o trabalho manual cansa. Use o container oficial: docker run -p 5001:5001 spiderfoot/spiderfoot e abra http://localhost:5001. Crie um scan tipo Footprint com seu email, dominio pessoal e telefone, marque All modules exceto os que exigem chaves pagas, e deixe rodar por 30 a 90 minutos. O modulo sfp_haveibeenpwned vai listar todos os vazamentos historicos, sfp_hunter retorna emails secundarios associados ao seu dominio, e sfp_spider rastreia o site pessoal procurando emails comentados em HTML antigo. Eu encontrei meu CPF parcial em um PDF de evento de 2018 indexado pelo Google, problema classico resolvido pelas tecnicas de Higiene de Metadados: Limpando EXIF, PDF e Office antes de Publicar aplicadas retroativamente.

A parte menos sexy e a mais valiosa: cruzar fotos. Use PimEyes com cautela ou, preferencialmente, instale o FaceCheck.ID self-hosted via Docker e jogue sua foto de perfil profissional contra a base. Em paralelo, rode exiftool em cada imagem publica sua: exiftool -a -G1 -s perfil.jpg revela latitude GPS, modelo de camera e ate numero de serie quando voce esqueceu de strip metadata. Salvei um cliente de um stalking real porque seu Instagram tinha GPS preciso da casa em fotos de 2019 nunca limpas. O processo completo de compartimentar identidades visuais futuras esta em Compartimentacao Digital: Identidades Separadas sem Vazar Metadados, e vale ler antes de criar qualquer perfil novo.

Telefone e o vetor que brasileiros subestimam mais. Rode PhoneInfoga contra seu numero: phoneinfoga scan -n +5511987654321. A ferramenta consulta NumVerify, OVH e Google dorks que revelam o numero indexado em sites de classificados, grupos de WhatsApp publicos e ate planilhas Google esquecidas. Em seguida, teste no Truecaller via app limpo (em VM Android) para ver como seu nome aparece para terceiros, frequentemente como apelido vazado por algum app de delivery. Combine isso com lookup no Serasa Antifraude e voce ja tem o mesmo dataset que um golpista compraria por 80 reais na deep web. Para entender o ecossistema brasileiro de brokers e como removar dados, Seguranca Pessoal Anti-Doxxing: Removendo Dados de Data Brokers em PT-BR tem um playbook regional.

Documente tudo num markdown estruturado por categoria: Email, Telefone, Nome, Foto, Endereco, Empregador, Familia. Para cada item exposto, escreva uma acao de remediacao com prazo: solicitar opt-out no broker, trocar foto recidiva, remover post antigo, ativar passkeys onde ainda usa SMS. Repita o scan completo a cada 90 dias e diff os resultados, e voce vera o impacto real do trabalho. Pegada digital nao desaparece, ela so encolhe sob disciplina. Takeaway pratico: agende agora 4 horas no seu calendario, instale Maltego CE e Spiderfoot esta semana, e trate seu proprio nome como um alvo de bug bounty cuja recompensa e sua tranquilidade.