A RCI Hospitality Holdings, uma das maiores operadoras de casas noturnas dos Estados Unidos, informou que uma vulnerabilidade IDOR em seu servidor IIS permitiu a invasores acessarem dados pessoais de aproximadamente 40 mil pessoas, incluindo nomes, números de previdência social e carteiras de motorista. O ataque foi detectado em março de 2026 e o FBI foi notificado, segundo registro da empresa.
Como o IDOR funciona
IDOR (Insecure Direct Object Reference) é uma falha de controle de acesso em que um atacante pode acessar recursos de outros usuários simplesmente alterando um parâmetro na URL ou na requisição. Por exemplo, se um usuário autenticado acessa servidor.com/conta?id=101, ele pode tentar id=102 para visualizar dados de outra pessoa sem autorização. É uma das vulnerabilidades mais comuns em aplicações web e está catalogada na lista OWASP Top 10.
No caso da RCI, a falha de IDOR residia em um servidor IIS (Internet Information Services) da subsidiária RCI Internet Services. O invasor explorou essa vulnerabilidade para acessar arquivos que continham informações pessoais de terceiros sem necessidade de credenciais adicionais ou exploração de vulnerabilidades complexas. Esse tipo de falha é particularmente perigoso porque não requer conhecimento técnico avançado — basta manipular a referência direta ao objeto na requisição para acessar dados protegidos.
Cronologia do vazamento
O incidente se desenrolou ao longo de vários meses, desde o acesso inicial não autorizado até a notificação às pessoas afetadas. A empresa levou cerca de dois meses entre a detecção da intrusão e o início das notificações, dentro dos prazos legais exigidos. A cronologia completa do ataque e da resposta da RCI está detalhada abaixo.
| Data | Evento |
|---|---|
| 19 de março de 2026 | Invasores acessam arquivos na rede da RCI Internet Services via falha IDOR |
| 23 de março | Empresa detecta a intrusão e identifica a vulnerabilidade no servidor IIS |
| Meados de abril | RCI comunica o incidente à SEC em registro formal |
| 13 de maio | Revisão completa dos arquivos roubados é finalizada |
| Início de junho | Notificação ao procurador-geral do Maine; pessoas afetadas são notificadas |
Dados expostos no ataque
A investigação forense determinou que os arquivos acessados continham dados sensíveis de aproximadamente 40 mil pessoas, em sua maioria trabalhadores autônomos (independent contractors) vinculados à empresa. Os dados expostos incluem:
- Nomes completos
- Informações de contato (endereços, telefones, e-mails)
- Datas de nascimento
- Números de previdência social (SSN)
- Números de carteiras de motorista
A combinação desses dados cria risco significativo de roubo de identidade, semelhante ao que ocorreu em outros vazamentos recentes que expuseram centenas de milhares de registros pessoais. Com nome, data de nascimento e SSN, criminosos podem abrir contas bancárias, solicitar cartões de crédito e cometer fraudes em nome da vítima.
A RCI informou que nenhum grupo de ransomware reivindicou o ataque até o momento. O FBI foi comunicado e a empresa afirmou que cooperará com qualquer investigação resultante. Não há evidências públicas de que os dados roubados tenham sido publicados na internet ou oferecidos em mercados clandestinos.
Pessoas que receberam notificação da RCI devem congelar seu crédito junto às agências de relatório de crédito, monitorar extratos bancários e relatórios de crédito por pelo menos 12 meses, e considerar o registro de alerta de fraude. Quem manteve vínculo com a RCI deve verificar se seus dados foram comprometidos entrando em contato diretamente com a empresa.
Fontes
As informações deste artigo foram baseadas em comunicações oficiais da RCI ao regulador e em reportagens de veículos especializados em segurança da informação. As fontes utilizadas estão listadas abaixo.