A empresa energética Kyushu Electric Power, maior distribuidora do Japão, informou em 8 de junho de 2026 que um SSD com dados de até 10,9 milhões de clientes desapareceu de uma sala de servidores com acesso biométrico. O dispositivo não tinha criptografia nem senha, ficou em um armário destrancado e a falta só foi percebida 29 dias depois.
O que aconteceu
Em 27 de abril de 2026, um funcionário de empresa contratada realizou um backup de rotina em um servidor da subsidiária Kyushu Electric Power Transmission and Distribution. Por limitações de capacidade, os dados foram copiados para um SSD externo de tamanho palmar. O dispositivo foi colocado em um armário dentro da sala de servidores, que exige crachá com identificação e autenticação biométrica para acesso.
Somente em 26 de maio, ao retornar para outra tarefa, o funcionário percebeu que o armário estava destrancado e o SSD havia desaparecido. Quase um mês se passou entre o armazenamento e a descoberta da falta. A empresa identificou que 57 pessoas de 10 empresas contratadas tiveram acesso à sala durante esse período.
Em 4 de junho, a Kyushu Electric registrou um boletim de ocorrência policial por suspeita de furto. O caso também foi comunicado à Comissão de Proteção de Informações Pessoais do Japão e ao Ministério da Economia, Comércio e Indústria, que deu até 8 de julho para a empresa apresentar um relatório completo do incidente e das medidas preventivas.
Dados expostos no SSD
Segundo a Asahi Shimbun, o dispositivo contém informações de clientes com contratos ativos na região de Kyushu (excluindo ilhas remotas) entre julho de 2016 e janeiro de 2024, além de pessoas que solicitaram mudança de endereço entre outubro de 2025 e abril de 2026.
| Tipo de dado | Incluído no SSD |
|---|---|
| Nome do cliente | Sim |
| Endereço de instalação | Sim |
| Número de telefone | Sim |
| Dados de consumo de energia | Sim |
| Nome da fornecedora de energia | Sim |
| Dados bancários ou cartão | Não |
A região de Kyushu possui 12,6 milhões de habitantes, e os 10,9 milhões de registros afetados representam a quase totalidade da base de clientes da distribuidora. A empresa afirma que não há confirmação de uso indevido dos dados até o momento. O caso se soma a uma série de vazamentos massivos de dados pessoais registrados em 2026.
Falhas na energética japonesa
O incidente expõe uma cadeia de falhas de segurança física e de processos que tornaram o vazamento possível. Embora a sala de servidores tenha controle de acesso biométrico, o armário onde o SSD ficou guardado não estava trancado. O dispositivo não tinha senha nem criptografia ativada, o que significa que qualquer pessoa com acesso físico poderia ler todo o conteúdo.
O intervalo de 29 dias entre o depósito do SSD e a descoberta do desaparecimento dá uma janela ampla para que o dispositivo tivesse sido removido e copiado. A empresa entrevistou todos os 57 profissionais com acesso, mas não localizou o equipamento. Esse tipo de falha é particularmente grave em operações de infraestrutura crítica, onde incidentes com dados pessoais podem comprometer a confiança de milhões de pessoas.
Como empresas podem prevenir isso
- Criptografe todo disco de backup —SSDs e HDs externos usados em backups devem ter criptografia full-disk ativada (BitLocker, LUKS ou FileVault). Dados criptografados ficam inúteis sem a chave.
- Controle de acesso físico em camadas — armários dentro de salas restritas também precisam de fechadura e registro de quem abre. A biometria da sala não protege dispositivos dentro dela.
- Inventário diário de mídia removível — todo dispositivo de armazenamento portátil deve ser registrado e conferido ao fim de cada turno, eliminando janelas de semanas até detectar a perda.
- Minimize dados em backups — copie apenas o necessário para a operação. Dados de 10,9 milhões de clientes não precisavam estar em um único disco portátil sem proteção.
- Monitore acessos com câmeras e logs — a integração de logs de entrada biométrica com gravação por vídeo permite identificar rapidamente quem teve acesso ao armário e quando.