ShinyHunters rouba dados de 4,9 milhões

A operadora de telecomunicações Charter Communications confirmou uma violação massiva de dados que expôs informações pessoais de 4,9 milhões de contas. O ataque foi executado pelo grupo criminoso ShinyHunters, que invadiu os sistemas da empresa em 1º de abril de 2026 por meio de um ataque de vishing (engenharia social por telefone) que comprometeu credenciais de um funcionário.

Os dados roubados incluem endereços de e-mail, nomes completos, números de telefone e endereços residenciais. Um subconjunto de registros pode conter informações adicionais. O grupo alegou ter acesso a 42 milhões de registros no total, embora o número confirmado de e-mails únicos seja de 4,9 milhões, segundo o serviço Have I Been Pwned.

Como o ataque aconteceu

A cronologia do ataque revela uma operação planejada:

  1. 1º de abril de 2026 — ShinyHunters realiza ataque de vishing para obter acesso inicial aos sistemas da Charter
  2. Abril-maio — Grupo exfiltra milhões de registros de clientes durante semanas
  3. Maio — Tentativa de extorsão falha e os dados são publicados no site de vazamentos
  4. 25 de maio — Incidente torna-se público quando Charter é listada na plataforma de notificação de breaches

O método de vishing é recorrente em ataques grandes. Os criminosos ligam para funcionários se passando por suporte de TI ou fornecedores, convencendo-os a revelar senhas ou aceitar sessões de acesso remoto. Uma vez dentro, o atacante se movimenta lateralmente pela rede.

Impacto e contexto brasileiro

Embora Charter seja uma empresa americana, o ataque ilustra um padrão que afeta empresas brasileiras diretamente. No Brasil, a LGPD exige que empresas notifiquem a ANPD e os titulares de dados em caso de incidentes com risco relevante. Empresas de telecomunicações brasileiras como Claro, Vivo e TIM armazenam volumes similares de dados pessoais e estão igualmente expostas a ataques de engenharia social.

A ANPD pode aplicar multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, em caso de descumprimento das obrigações de segurança e notificação.

Como proteger sua empresa

  • Implemente verificação em duas etapas obrigatória para todos os acessos corporativos, incluindo VPN e sistemas internos
  • Treine funcionários para identificar técnicas de vishing — solicitações de senha por telefone são sempre suspeitas
  • Monitore o site Have I Been Pwned para detectar se e-mails corporativos aparecem em vazamentos
  • Mantenha plano de resposta a incidentes atualizado com cronograma de notificação à ANPD conforme Art. 48 da LGPD
  • Segmente a rede para limitar o acesso lateral de um atacante que consiga credenciais válidas

Fontes e referências