A Madison Square Garden Entertainment usou reconhecimento facial para rastrear até 26 milhões de visitantes — e acabou vazando tudo. O grupo criminoso ShinyHunters publicou 45 GB de dados da empresa depois que ela ignorou um prazo de resgate, e o caminho de entrada foi de uma simplicidade constrangedora: um telefonema para um funcionário de baixo escalão, que foi enganado e liberou acesso aos sistemas.
Resumo: o que aconteceu
- Quem: o grupo de extorsão ShinyHunters, o mesmo que atacou Ticketmaster e AT&T em 2024.
- O quê: publicou 45 GB de dados da Madison Square Garden (MSG), incluindo registros de reconhecimento facial.
- Quando: a invasão ocorreu em 5 de junho de 2026; o vazamento saiu em 16 de junho, após a empresa descumprir um prazo de resgate.
- Escala: cerca de 26 milhões de registros de clientes e corporativos.
- Consequência: ação coletiva federal pedindo mais de US$ 5 milhões em danos.
Um telefonema abriu as portas
O detalhe mais revelador do caso não é a tecnologia que falhou — é a que nunca foi usada. Segundo a revisão dos dados roubados feita pelo veículo 404 Media e reportada pela DataBreaches.net, os hackers simplesmente ligaram para um funcionário de baixo escalão da MSG e o convenceram a deixá-los entrar nos sistemas. Nada de zero-day sofisticado, nada de exploração de criptografia. Engenharia social por voz, o golpe mais antigo do manual.
Esse vetor — conhecido como vishing, ou phishing por telefone — continua sendo a porta de entrada mais confiável do crime digital. A MSG mantinha um aparato caríssimo de vigilância biométrica nas catracas, mas não conseguiu barrar uma ligação. A ironia é o ponto central da história: a empresa sabia vigiar milhões de rostos, mas ignorou a vulnerabilidade mais trivial da sua própria operação. O mesmo método por voz já foi usado no Brasil em ataques recentes, como relatado em casos de golpes de voz que roubam senhas na nuvem.
O que vazou nos 45 GB
O pacote publicado pelo ShinyHunters não continha apenas nomes e e-mails. Carregava o tipo de informação que uma empresa de eventos jamais deveria armazenar sem proteção extrema. Segundo o relato detalhado do TNW, havia registros de vigilância biométrica, avaliações internas de risco e perfis detalhados de frequentadores.
| Tipo de dado vazado | Exemplo encontrado nos arquivos |
|---|---|
| Logs de reconhecimento facial | Registro de movimento com carimbo de data/hora de visitantes |
| Perfis de risco de celebridades | Ben Stiller marcado como “baixo risco”; A Boogie wit da Hoodie como “alto risco” |
| Dossiês de frequentadores | Campos como “endereço”, “motivo da fama”, “custo do talento” e contatos |
| E-mails de clientes | Mensagens de fãs reclamando de identificação errada pelas câmeras |
| Relatórios de avaliação de ameaças | Perfis ligados a dados biométricos e outros identificadores |
O mais desconcertante é que a MSG guardava, junto aos dados biométricos, as próprias reclamações dos clientes contra o uso das câmeras. Ou seja, a empresa arquivava as queixas sobre a sua vigilância — e deixou tudo isso vazar junto.
Quem bania advogados pelo rosto
O contexto torna o vazamento ainda mais grave. Há anos a MSG usa reconhecimento facial nas entradas para, entre outras coisas, barrar advogados de escritórios que processaram a empresa. O caso ganhou projeção quando uma advogada que acompanhava a tropa de escoteiras da filha num espetáculo das Rockettes foi retirada do local, conforme documentado em reportagens sobre o departamento de gestão de ameaças da MSG.
A ação coletiva cita o “Threat Management Department” da empresa, que montava listas de observação, rótulos de risco e registros de movimentação. Um dos exemplos mencionados: uma criança colocada numa lista de vigilância por usar um ingresso inválido, e um ex-funcionário marcado como “Priority 2 Watchlist” com o alerta “observar: não se aproximar”. A procuradora-geral de Nova York, Letitia James, já havia alertado em 2023 que a prática poderia violar leis estaduais e federais.
Ação coletiva e silêncio de Dolan
Em 16 de junho de 2026, um dia depois do prazo de resgate vencido, foi ajuizada no tribunal federal de Nova York a ação Avalo v. MSG Entertainment. O autor, Carlos Avalo, esteve num show na MSG em setembro de 2025 e alega que seus dados biométricos foram capturados pelos sistemas de entrada. A ação pede pelo menos US$ 5 milhões em danos iniciais, segundo o relato do The New York Times.
A ação alega negligência corporativa: a MSG coletou dados de forma agressiva e não conseguiu protegê-los, apesar de alertas claros de defensores da privacidade e de um vazamento anterior. A empresa controlada por James Dolan não confirmou oficialmente a dimensão do ataque nem se pronunciou sobre a ação até o momento. O timing é cruel para a marca: o vazamento veio logo depois que o New York Knicks venceu as finais da NBA em cinco jogos, colocando a arena e seu dono no centro da atenção pública.
O segundo vazamento em um ano
Este não é um incidente isolado. Em fevereiro de 2026, a MSG divulgou um vazamento separado atribuído ao grupo Cl0p, que explorou uma vulnerabilidade num aplicativo Oracle eBusiness Suite hospedado por um fornecedor e usado pela empresa para folha de pagamento e recursos humanos. Aquela invasão começou em agosto de 2025, passou despercebida até 16 de dezembro de 2025 e expôs nomes, endereços e números de Seguro Social de cerca de 131.070 pessoas, em sua maioria funcionários e contratados.
Dois ataques grandes em menos de doze meses apontam para um padrão estrutural de fraqueza na gestão de dados — não para azar pontual. Quando uma organização acumula esse volume de informação sensível e falha duas vezes seguidas, o problema deixou de ser acidente.
O manual da ShinyHunters
A ShinyHunters não escolhe alvos por acaso. O grupo mantém uma campanha sustained em 2026 que já afetou mais de 40 organizações e dados de mais de 400 milhões de pessoas, conforme um rastreador de violações e o alerta do FBI sobre a ShinyHunters emitido em maio de 2026. O roteiro é sempre o mesmo: identificar um alvo que concentra dados sensíveis, exfiltrar o máximo possível, fixar um prazo de resgate e publicar tudo quando o prazo expira.
O grupo já explorou um zero-day do Oracle PeopleSoft para invadir mais de 100 organizações — tema abordado aqui quando a ShinyHunters atacou o Oracle PeopleSoft em mais de 100 organizações. Em março de 2026 vazou 350 GB da Comissão Europeia; em abril, roubou 3,65 TB do sistema Canvas, de 275 milhões de usuários em 9 mil escolas. A MSG é apenas a entrada mais recente de uma lista longa.
O aviso para quem coleta biometria
O caso MSG expõe uma equação perigosa que vale para qualquer empresa que use reconhecimento facial: quanto mais biométrica você acumula, maior o alvo pintado nas suas costas. Dados de rosto e de comportamento não podem ser “reemitidos” como uma senha — uma vez vazados, a exposição é permanente. Quem coleta esse tipo de informação assume uma responsabilidade desproporcional à maioria das empresas.
No Brasil, a LGPD classifica dados biométricos como sensíveis e exige consentimento, finalidade específica e proteção reforçada. Arenas, estádios e grandes eventos que adotam câmeras de reconhecimento facial estão sujeitos ao mesmo risco materializado em Nova York: reunir milhões de rostos sem a capacidade de defendê-los. O vazamento recente de dados de 1,2 milhão de usuários de um serviço de delivery mostra como a escala de coleta no país já atrai criminosos.
Como reduzir esse risco
A primeira lição é intransigente: treine toda a equipe contra vishing, inclusive funcionários de baixo escalão. Um telefonema bem ensaiado derruba fortalezas multimilionárias. A segunda é técnica — qualquer acesso concedido por voz precisa de verificação por um canal independente antes de ser concedido.
Para organizações que lidam com biometria, a recomendação é reduzir a coleta ao essencial e criptografar o que ficar. Revisões de tecnologias de vigilância devem incluir não só a legalidade do uso, mas a robustez do armazenamento. E, como regra básica de higiene, autenticação multifator e senhas fortes continuam sendo o freio mais barato contra o roubo de credenciais — o elo que conecta o telefonema inicial ao vazamento total.
Referências
- TNW — ShinyHunters published 45GB of Madison Square Garden data (20 jun. 2026)
- DataBreaches.net — How hackers broke into Madison Square Garden (24 jun. 2026)
- Inside the Venue — MSG Data Breach Lawsuit (18 jun. 2026)
- The New York Times — Customers Sue Madison Square Garden (23 jun. 2026)
- FBI/IC3 — ShinyHunters: Cyber Criminal Alert (mai. 2026)
- SecureWorld — ShinyHunters Dumps MSG Sports Data (18 jun. 2026)