O que aconteceu

Em março de 2026, a Comissão Europeia sofreu uma das maiores violações de dados já registradas em uma instituição governamental multinacional. O grupo de ameaças TeamPCP explorou uma chave de API da Amazon Web Services (AWS) — roubada em um ataque prévio à cadeia de suprimentos usando a ferramenta de segurança Trivy — para invadir o ambiente em nuvem da Comissão. O resultado: mais de 340 GB de dados vazados, afetando diretamente pelo menos 71 clientes do serviço de hospedagem Europa, incluindo 42 órgãos internos da Comissão e outras 29 entidades da União Europeia.

O grupo de extorsão ShinyHunters publicou o conjunto de dados na dark web como um arquivo de 90 GB. O material contém nomes, e-mails corporativos, nomes de usuário e dezenas de milhares de comunicações por e-mail — incluindo mensagens enviadas por cidadãos europeus a portais oficiais da UE.

A cronologia do ataque: cinco dias de invisibilidade

O mais alarmante neste caso não é apenas o volume de dados, mas o tempo de detecção. A linha do tempo revelada pelo CERT-EU mostra uma janela de resposta preocupante:

  • 10 de março — TeamPCP usa a chave AWS comprometida para acessar o ambiente em nuvem da Comissão Europeia.
  • 10 a 24 de março — Os atacantes permanecem no ambiente sem que o Centro de Operações de Cibersegurança da Comissão detecte qualquer anomalia. Durante esse período, usam o TruffleHog para buscar credenciais adicionais e criam novas chaves de acesso para evitar detecção.
  • 24 de março — Quinze dias depois da intrusão inicial, o alarme finalmente dispara.
  • 25 de março — A Comissão notifica o CERT-EU.
  • 27 de março — Divulgação pública, após a BleepingComputer entrar em contato para confirmação.
  • 28 de março — ShinyHunters publica os dados na dark web.

Cinco dias de acesso livre e quinze dias até a detecção. Para uma infraestrutura que hospeda dados de dezenas de instituições governamentais, esses números são difíceis de justificar.

Quem é o TeamPCP e por que isso importa

O TeamPCP não é um grupo novato. Já foi associado a ataques de cadeia de suprimentos em múltiplas plataformas de desenvolvedores — GitHub, PyPI, NPM e Docker. Um dos ataques mais conhecidos do grupo comprometeu o pacote LiteLLM no PyPI, infectando dezenas de milhares de dispositivos com o malware de roubo de informações “TeamPCP Cloud Stealer”.

O modus operandi é consistente: comprometem ferramentas e pacotes de desenvolvedores para obter credenciais de nuvem, e depois usam essas credenciais para acessar infraestruturas corporativas e governamentais. É o modelo clássico de ataque à cadeia de suprimentos de software, e funciona porque confiança em ferramentas de desenvolvimento é um pressuposto raramente verificado.

O detalhe técnico: como a chave vazou

A entrada inicial do ataque veio de uma vulnerabilidade na ferramenta Trivy, um scanner de segurança de código aberto amplamente usado para análise de contêineres e infraestrutura como código. O TeamPCP explorou essa brecha para roubar uma chave de API AWS com privilégios de gerenciamento sobre outras contas da Comissão Europeia.

Uma vez dentro, os atacantes seguiram um playbook bem estabelecido:

  1. Validação de credenciais com TruffleHog para confirmar quais chaves ainda estavam ativas.
  2. Criação de nova chave de acesso vinculada a um usuário existente — uma técnica que dificulta a detecção porque a chave parece legítima.
  3. Reconhecimento do ambiente AWS para mapear buckets, bancos de dados e serviços.
  4. Exfiltração seletiva de dados com foco em informações pessoais e comunicações.

Não houve movimentação lateral para outras contas AWS da Comissão, segundo o CERT-EU. Mas o fato de uma única chave ter dado acesso a dados de 71 clientes de hospedagem levanta questões sérias sobre a arquitetura de permissões.

O que foi exposto — e quem foi afetado

Segundo a análise do CERT-EU, o vazamento inclui:

  • Dados pessoais: nomes, sobrenomes, nomes de usuário e endereços de e-mail, predominantemente de usuários de sites da Comissão Europeia.
  • 51.992 arquivos de comunicações por e-mail (2,22 GB), a maioria notificações automatizadas, mas incluindo mensagens de “bounce-back” que podem conter o conteúdo original enviado por cidadãos a portais oficiais da UE.
  • Potencial impacto em 29 outras entidades da UE que utilizavam o serviço de hospedagem europa.eu.

A Comissão informou que nenhum site ficou fora do ar ou foi alterado. Mas a ausência de indisponibilidade não significa ausência de dano. Dados pessoais de cidadãos europeus em posse de grupos criminosos é o tipo de consequência que o GDPR existe para evitar — e que as próprias instituições da UE agora precisam explicar.

O contexto: não é o primeiro incidente em 2026

Este ataque não veio do nada. Em fevereiro de 2026, a Comissão Europeia já havia divulgado outra violação: uma plataforma de gerenciamento de dispositivos móveis (MDM) usada para controlar equipamentos da equipe foi comprometida. Dois incidentes significativos em menos de dois meses sugerem um padrão preocupante de superfície de ataque exposta.

Nos mesmos dias, outros incidentes relevantes chamaram atenção:

  • Hims & Hers (telemedicina): vazamento de dados após comprometimento de tickets de suporte no Zendesk.
  • Die Linke (partido político alemão): ransomware Qilin confirmou roubo de dados.
  • Drift Protocol: US$ 280 milhões roubados após atacante assumir controle de poderes administrativos do Security Council.
  • Claude Code no GitHub: atores de ameaças criaram repositórios falsos explorando o vazamento do código-fonte do Claude Code para distribuir o infostealer Vidar.

O ecossistema de ameaças está em clara aceleração, e os alvos são cada vez mais diversos — de governos a partidos políticos, de cripto a ferramentas de IA.

Lições práticas para equipes de segurança

O incidente da Comissão Europeia é um estudo de caso quase perfeito de falhas encadeadas. Abaixo, um checklist direto para quem não quer ser o próximo caso:

Checklist de proteção contra ataques à cadeia de suprimentos e credenciais em nuvem

  • Robeça de chaves de API regularmente — não espere um incidente. Configure rotação automática no AWS Secrets Manager ou equivalente.
  • Princípio do menor privilégio — a chave comprometida tinha acesso de gerenciamento a múltiplas contas. Uma chave deve ter acesso apenas ao que é estritamente necessário.
  • Monitoramento de criação de novas credenciais — os atacantes criaram uma nova chave para se camuflar. Alertas sobre criação de access keys devem ser padrão.
  • Detecção de tempo real, não dias depois — quinze dias de detecção é inaceitável. Implemente alertas para uso anômalo de APIs, tráfego de exfiltração e access patterns incomuns.
  • Auditoria de ferramentas de terceiros — Trivy, GitHub Actions, dependências de código. Cada ferramenta no pipeline é uma superfície de ataque.
  • Segmentação de ambientes em nuvem — se uma chave dá acesso a 71 clientes, a segmentação falhou. Use contas AWS separadas ou organizações com Service Control Policies.
  • Plano de resposta a incidentes testado — saber o que fazer quando uma chave vaza é tão importante quanto prevenir o vazamento.
  • Verificação de integridade de pacotes open-source — antes de confiar em uma ferramenta como Trivy em seu pipeline, verifique checksums, assinaturas e histórico de vulnerabilidades do próprio projeto.

O paradoxo regulatório europeu

Há uma ironia difícil de ignorar: a União Europeia é a criadora do GDPR, a legislação de proteção de dados mais rigorosa do planeta. Organizações privadas ao redor do mundo foram multadas em centenas de milhões de euros por violações menos graves do que esta. Agora, a própria instituição que fiscaliza o cumprimento da lei precisa responder por um vazamento que expôs dados de cidadãos em escala continental.

A Comissão notificou as autoridades de proteção de dados e está em comunicação com as entidades afetadas. Mas a pergunta que fica é: as mesmas consequências aplicadas ao setor privado serão aplicadas à administração pública europeia? Historicamente, a resposta tem sido não. E isso alimenta a percepção de que a regulamentação é um instrumento de controle sobre empresas, não um padrão universal de proteção.

Perguntas frequentes

Meus dados podem ter sido vazados?

Se você enviou mensagens através de sites hospedados no serviço europa.eu da Comissão Europeia, seus dados podem estar no conjunto vazado. O CERT-EU confirma que as “bounce-back notifications” podem conter o conteúdo original das mensagens enviadas por cidadãos. Recomenda-se trocar senhas associadas a contas .europa.eu e monitorar atividades suspeitas em seu e-mail.

O que é o TeamPCP?

Um grupo de ameaças cibernéticas especializado em ataques à cadeia de suprimentos de software. Já comprometeu projetos no GitHub, PyPI, NPM e Docker para roubar credenciais de nuvem e distribuir malware.

A Comissão Europeia sofreu outros ataques recentes?

Sim. Em fevereiro de 2026, a Comissão revelou que uma plataforma de gerenciamento de dispositivos móveis da equipe havia sido hackeada. São dois incidentes significativos em menos de dois meses.

O que é o TruffleHog e por que foi usado no ataque?

TruffleHog é uma ferramenta legítima de segurança que escaneia repositórios de código em busca de credenciais e secrets expostos. Os atacantes usaram a ferramenta de forma legítima — mas para fins maliciosos — para encontrar credenciais adicionais dentro do ambiente AWS comprometido.

O que o GDPR diz sobre vazamentos em instituições públicas?

O GDPR se aplica tanto ao setor privado quanto a órgãos públicos. A Comissão Europeia, como controladora de dados, tem as mesmas obrigações de notificação e transparência. Na prática, porém, as sanções contra instituições públicas tendem a ser processuais e não financeiras.

Referências

  • CERT-EU — Comunicado oficial sobre o incidente na Comissão Europeia (abril de 2026)
  • BleepingComputer — “CERT-EU: European Commission hack exposes data of 30 EU entities” (3 de abril de 2026)
  • BleepingComputer — “Claude Code leak used to push infostealer malware on GitHub” (2 de abril de 2026)
  • Zscaler — Relatório sobre campanha de malware via repositórios GitHub falsos do Claude Code
  • BleepingComputer — “Hims & Hers warns of data breach after Zendesk support ticket breach” (3 de abril de 2026)
  • BleepingComputer — “Die Linke German political party confirms data stolen by Qilin ransomware” (3 de abril de 2026)
  • BleepingComputer — “Drift loses $280 million — North Korean hackers seize Security Council powers” (2 de abril de 2026)