Do setor público ao corporativo, falhas e ataques sofisticados expuseram bilhões de dados ao redor do mundo
Em junho de 2025, um dos maiores vazamentos de dados da história foi identificado pelo pesquisador Bob Dyachenko, da SecurityDiscovery, em parceria com a equipe do Cybernews. Um banco de dados de 631 GB, sem qualquer proteção por senha, expôs 4 bilhões de registros contendo informações pessoais sensíveis de cidadãos chineses, incluindo dados do WeChat, detalhes bancários, informações de perfis do Alipay, números de telefone, endereços residenciais e perfis comportamentais.
A exposição foi considerada crítica pelo teor das informações. A partir dos dados vazados, seria possível traçar rotinas, relações e comportamentos dos indivíduos afetados. A descoberta reacendeu o debate sobre práticas de vigilância digital e segurança de bases governamentais e corporativas no país, que historicamente opera sob forte centralização de dados.
Também em junho de 2025, a companhia aérea australiana Qantas confirmou um ataque que resultou no roubo de 5,7 milhões de registros de clientes. O incidente ocorreu após criminosos explorarem vulnerabilidades em um sistema terceirizado integrado ao Salesforce, permitindo a extração de dados pessoais como nomes, e-mails, telefones e informações de contas do programa de milhagem.
A confirmação da extensão do vazamento veio após o prazo de um pedido de resgate não ser atendido. O grupo Scattered Lapsus$ Hunters assumiu a autoria do ataque. Após o episódio, a Qantas enfrentou questionamentos sobre a dependência de integrações externas e sobre práticas de autenticação e monitoramento.
Em abril de 2025, a companhia de telecomunicações sul-coreana SK Telecom identificou atividade anômala em seus sistemas e, após investigação interna, constatou que um malware havia sido inserido por meio de atualização de software fornecida por um terceiro. A falha permitiu o acesso indevido a dados USIM, incluindo números IMSI, MSISDN, chaves de autenticação e demais credenciais críticas utilizadas para validar usuários em redes móveis.
Leia também: Brasil lidera ranking de ciberataques contra Linux e Mac na América Latina
O ataque resultou na coleta de dados sensíveis de mais de 27 milhões de usuários. O episódio, no entanto, gerou críticas pela demora de sete dias entre a detecção e a divulgação pública, além de dificuldades enfrentadas por clientes ao tentar acessar o serviço de proteção USIM. A gravidade do episódio levou autoridades coreanas a aplicarem uma multa recorde de US$ 96,9 milhões, uma das maiores penalidades já impostas no setor de telecomunicações do país
Entre junho e julho de 2025, uma falha grave no sistema de recrutamento McHire, da McDonald’s, expôs informações de aproximadamente 64 milhões de candidatos em todo o mundo. O incidente veio de uma falha básica de segurança: pesquisadores conseguiram acessar uma conta administrativa usando “123456” como login e senha, credenciais que pertenciam a um ambiente de testes não desativado desde 2019.
Os dados expostos incluíam nomes completos, e-mails, telefones, detalhes das candidaturas, transcrições de conversas com a assistente virtual, resultados de testes de personalidade, currículos e endereços IP. Embora não tenham sido divulgadas informações financeiras sensíveis, o material poderia ser usado para ataques de phishing e fraudes de engenharia social.
O vazamento de chaves Pix no sistema administrado pelo Conselho Nacional de Justiça (CNJ) expôs mais de 46 milhões de chaves correspondentes a 11 milhões pessoas, segundo o Banco Central. O acesso indevido ocorreu via Sisbajud, plataforma que conecta o Judiciário ao BC para solicitação de dados financeiros Informações como nome do usuário, CPF, instituição bancária, agência, tipo e número da conta, chave Pix foram expostas.
Tanto o BC quanto o CNJ enfatizaram que não houve exposição de senhas, saldos ou dados protegidos por sigilo bancário. Ainda assim, o incidente reacendeu discussões sobre a segurança dos sistemas judiciais e o uso crescente de plataformas automatizadas para cumprimento de ordens financeiras.
Em meados de 2025, pesquisadores identificaram uma coleção gigantesca de mais de 16 bilhões de credenciais de login, reunidas ao longo do tempo a partir de vazamentos antigos e de máquinas infectadas por malware. O material incluía logins e senhas em texto puro de usuários de grandes serviços como Apple, Google, Facebook, Telegram e GitHub, com impacto significativo sobre populações de língua portuguesa e Rússia.
A base, construída a partir de 30 conjuntos de dados expostos coletados em seis meses de investigações, não representou um único vazamento, mas reforçou a persistência de riscos decorrentes de credenciais reaproveitadas e da falta de autenticação. O episódio também aumentou a preocupação acerca do acúmulo de dados vazados na última década.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
A redação contempla textos de caráter informativo produzidos pela equipe de jornalistas do IT Forum.
