Viés BPO: como o ataque Mr. Raccoon à Adobe expôs 13 milhões de tickets de suporte

O que aconteceu

No dia 2 de abril de 2026, a conta International Cyber Digest no X revelou uma violação massiva na Adobe. O autor da ameaça, que se identifica como “Mr. Raccoon”, afirmou ter exfiltrado 13 milhões de tickets de suporte com dados pessoais de clientes, 15 mil registros de funcionários, todas as submissões de bug bounty no HackerOne e documentos internos da empresa. O volume e a sensibilidade dos dados fazem deste um dos incidentes mais relevantes do ano — se confirmado.

A Adobe ainda não emitiu comunicado oficial confirmando ou negando o ataque. Mas as evidências compartilhadas — incluindo capturas de ecrã de diretórios e amostras de ficheiros — foram analisadas por múltiplas fontes de inteligência de ameaças que consideraram o relato credível.

Como funcionou o ataque

A intrusão não começou na infraestrutura da Adobe. Mr. Raccoon comprometeu primeiro um funcionário de uma empresa de BPO (Business Process Outsourcing) indiana que presta serviços de suporte à Adobe. A cadeia de ataque teve duas fases:

• Fase 1 — RAT via phishing: o atacante enviou um email com um Remote Access Tool (RAT) ao funcionário do BPO. Após a execução, Mr. Raccoon obteve controlo total da estação de trabalho, incluindo acesso à webcam e a conversas privadas no WhatsApp do empregado.
• Fase 2 — Escalada horizontal: usando o contexto e credenciais do funcionário comprometido, o atacante lançou um ataque de phishing direcionado ao gestor do BPO. O phishing “ascendente” concedeu privilégios elevados dentro dos sistemas de suporte da Adobe.

Com acesso de agente ao portal de tickets, Mr. Raccoon explorou uma falha arquitectónica grave: a ausência de limites de taxa (rate-limiting) ou restrições de exportação em massa. “Permitiam exportar todos os tickets num único pedido a partir de uma conta de agente”, declarou o próprio atacante. Sem controlo sobre exportações massivas, a extracção de milhões de registos tornou-se trivial.

O que foi exposto

O dataset exfiltrado inclui quatro categorias de dados críticos:

• 13 milhões de tickets de suporte: contendo nomes, endereços de email, detalhes de conta e descrições detalhadas de problemas técnicos — material ideal para campanhas de phishing direcionado e roubo de identidade.
• 15 mil registos de funcionários: dados internos de colaboradores, potencialmente incluindo informações de contacto profissional e hierárquicas.
• Submissões HackerOne: relatórios de vulnerabilidades ainda não corrigidas. Este é o dado mais perigoso do lote — fornece a outros actores de ameaças um catálogo de falhas exploráveis antes que sejam corrigidas.
• Documentos internos: estratégia corporativa, especificações técnicas e outras informações confidenciais.

Por que este ataque é diferente

A maioria das violações de dados de grande escala envolve exploração directa de vulnerabilidades no perímetro ou credenciais vazadas. O caso Adobe-BPO é diferente porque o vetor de entrada foi completamente legítimo: o BPO tinha acesso autorizado aos sistemas de suporte. O atacante não precisou de explorar um zero-day ou contornar firewalls — apenas roubou a identidade de um agente de suporte.

Isto encaixa-se num padrão crescente em 2026. Segundo o relatório de tendências da SecurityScorecard sobre cibersegurança na cadeia de fornecimento, as organizações precisam de avançar de avaliações pontuais e manuais para defesa automatizada e orientada por ameaças. O NIST, através do SP 800-161 Rev. 1, já disponibiliza orientação específica para gestão de risco na cadeia de fornecimento cibernético. O problema não é falta de framework — é falta de aplicação.

O problema estrutural dos BPOs

Empresas de outsourcing operam com margens apertadas e alta rotatividade de pessoal. A formação em segurança é frequentemente insuficiente. O acesso a sistemas de clientes é muitas vezes excessivamente permissivo porque a operação exige agilidade. E os controlos de segurança — MFA, segmentação de rede, monitorização de sessões — adicionam fricção que conflitua com métricas de produtividade.

O resultado é um ecossistema onde o elo mais fraco não é o produto ou a infraestrutura, mas o operador sentado numa mesa do outro lado do mundo com acesso legítimo a dados de milhões de utilizadores. Quando a Palo Alto Unit42 reportou em abril de 2026 que o grupo TeamPCP comprometeu ferramentas de segurança como Trivy e KICS via cadeia de fornecimento, o sinal ficou claro: os atacantes perceberam que é mais fácil entrar pelos parceiros do que pelas portas da frente.

O que fazer agora — acções práticas

Se a sua organização trabalha com BPOs, MSPs ou qualquer terceiro com acesso a sistemas sensíveis, estas são as acções por ordem de prioridade:

• 1. Auditoria imediata de permissões de exportação: verifique se qualquer conta de agente ou operador pode exportar dados em massa sem rate-limiting. Se puder, restrinja já.
• 2. Implementar MFA para todos os acessos de terceiros: sem excepções. A autenticação multifator deveria ser o mínimo para qualquer conta com acesso a dados de clientes.
• 3. Segmentação de rede para acessos de parceiros: isole as integrações de fornecedores dos sistemas críticos. Acesso a tickets de suporte não deve significar acesso a tudo o resto.
• 4. Monitorização comportamental de sessões: implemente detecção de anomalias em sessões de agentes — volume de exportação, horários, localização, padrões de navegação.
• 5. Revisão de contratos com BPOs: inclua cláusulas de segurança obrigatórias (formação, MFA, tempo de resposta a incidentes, direito a auditoria). Sem isso, não há alinhamento de incentivos.
• 6. Zero Trust para acessos de suporte: assuma que qualquer sessão pode ser comprometida. Aplique least privilege rigoroso e sessões com duração limitada.
• 7. Monitorizar dark web: se os dados da Adobe surgirem em fóruns, equipes de segurança devem verificar se as suas organizações ou clientes estão nos tickets expostos.

Se é cliente Adobe

Mude as suas palavras-passe associadas à conta Adobe. Ative autenticação de dois fatores. Esteja atento a emails de phishing que façam referência a tickets de suporte anteriores — são o vector mais provável de exploração destes dados. Se participou no programa de bug bounty da Adobe, assuma que o seu relatório de vulnerabilidade pode estar exposto e avance com a correção se tiver controlo sobre o código afectado.

O quadro geral

O ataque à Adobe via BPO não é um incidente isolado — é sintoma de uma dependência estrutural mal gerida. As organizações terceirizam operações críticas mas não terceirizam a responsabilidade de segurança. Enquanto o acesso de parceiros for tratado como secundário nos programas de segurança, casos como este vão repetir-se.

A defesa começa por um princípio simples: qualquer acesso externo aos seus sistemas deve ser tratado como o seu maior risco. Porque, para um atacante, esse acesso é exatamente isso.

Referências

• Adobe Data Breach 2026 via Indian BPO support firm — r/cybersecurity
• The BPO Backdoor: How Mr. Raccoon Swiped 13 Million Adobe Support Tickets — SecurityOnline
• Adobe Breach: Threat Actor Allegedly Claims Leak of 13 Million Support Tickets — CybersecurityNews
• 13M Adobe Support Tickets Allegedly Leaked in Hack — SQ Magazine
• Adobe Data Breach 2026: Mr. Raccoon Leaks 13M Support Tickets — The CyberSec Guru
• Supply Chain Cybersecurity Statistics 2026 — DeepStrike
• Weaponizing the Protectors: TeamPCP Supply Chain Attacks — Palo Alto Unit42