Vazamento

O PayPal notificou seus clientes sobre uma violação de dados que expôs informações sensíveis de usuários por quase seis meses em 2025. O incidente foi causado por um erro de software no aplicativo PayPal Working Capital, que oferece empréstimos para pequenas empresas. As informações vazadas incluem nomes, endereços de e-mail, números de telefone, endereços comerciais, datas de nascimento e números de identificação pessoal. O problema foi identificado em dezembro de 2025, mas as informações estavam vulneráveis desde julho do mesmo ano. Embora a empresa tenha afirmado que apenas um pequeno número de clientes foi afetado, foram registradas transações não autorizadas em contas de alguns usuários. O PayPal reverteu o erro no dia seguinte à descoberta e bloqueou o acesso dos cibercriminosos. Além de reembolsar os clientes afetados, a empresa ofereceu dois anos de monitoramento de crédito gratuito. O PayPal também reforçou que nunca solicita informações sensíveis por telefone ou e-mail, recomendando que os usuários fiquem atentos a atividades suspeitas em suas contas.

A North East Medical Services (NEMS) notificou 91.513 pacientes sobre uma violação de dados ocorrida em outubro de 2025, resultante de um ataque cibernético ao seu provedor de software terceirizado, UnitedLayer. O ataque, reivindicado pelo grupo de ransomware RansomHouse, foi detectado em 19 de outubro de 2025, quando a NEMS identificou acesso não autorizado a dados sensíveis, incluindo números de Seguro Social e informações médicas. Até o momento, a UnitedLayer não emitiu notificações sobre a violação, mas foi listada no site de vazamento de dados do RansomHouse. Este incidente é um dos maiores ataques a provedores de tecnologia nos EUA em 2025, destacando a vulnerabilidade de empresas que lidam com grandes volumes de dados. Em resposta, a NEMS está oferecendo monitoramento de crédito gratuito aos afetados. O RansomHouse, que opera sob um modelo de Ransomware-as-a-Service, já foi responsável por 15 ataques confirmados em 2025, afetando milhões de registros. A crescente incidência de ataques a provedores de software ressalta a necessidade de vigilância e proteção robusta contra ameaças cibernéticas.

A Adidas pode ter sido vítima de um ataque hacker que resultou na exposição de aproximadamente 815 mil registros de usuários. A informação foi divulgada pelo Daily Dark Web, que reportou que o grupo Lapsus$ reivindicou a responsabilidade pela violação, afirmando ter acessado a extranet do site oficial da empresa. Os dados vazados incluem nomes completos, endereços de e-mail, senhas, datas de nascimento e informações de empresas. A Adidas, em resposta, declarou estar ciente da situação e iniciou uma investigação, sugerindo que a violação pode estar relacionada a uma empresa parceira que lida com licenciamento de produtos. Embora a empresa não tenha fornecido muitos detalhes sobre a investigação, garantiu que não há evidências de que sua infraestrutura de TI ou dados de consumidores tenham sido comprometidos. Este não é o primeiro incidente de segurança enfrentado pela Adidas, que já sofreu um ataque semelhante em 2025, envolvendo uma empresa terceirizada.

Pesquisadores da Q Continuum descobriram que 287 extensões do Google Chrome estão coletando dados de navegação de aproximadamente 37,4 milhões de usuários. Essas extensões, que se apresentam como adblockers ou assistentes de pesquisa, estão envolvidas em uma operação de coleta em massa de dados, vendendo informações pessoais para corporações. A equipe de pesquisa utilizou um proxy man-in-the-middle para monitorar o tráfego de dados e identificou que muitas extensões enviavam informações em texto bruto, utilizando técnicas de ofuscação como a codificação em Base64 e AES-256 para ocultar suas atividades. O grupo SimilarWeb é um dos principais suspeitos, com extensões que afetam até 10,1 milhões de usuários. Embora algumas ferramentas legítimas tenham sido identificadas, a tendência de venda de dados por extensões populares levanta preocupações sobre a privacidade dos usuários. Especialistas alertam que, ao usar produtos gratuitos, os usuários estão, na verdade, pagando com seus dados pessoais, o que pode ter implicações significativas para a conformidade com a LGPD no Brasil.

O PayPal informou seus clientes sobre uma violação de dados resultante de um erro de software em seu aplicativo de empréstimos, que expôs informações pessoais sensíveis, incluindo números de Seguro Social, por quase seis meses. O incidente afetou o aplicativo PayPal Working Capital (PPWC), que oferece acesso rápido a financiamento para pequenas empresas. A violação foi descoberta em 12 de dezembro de 2025, e os dados expostos incluem nomes, endereços de e-mail, números de telefone, endereços comerciais, números de Seguro Social e datas de nascimento, que estiveram acessíveis desde 1º de julho de 2025. O PayPal reverteu a alteração de código que causou a falha, bloqueando o acesso não autorizado um dia após a descoberta. Além disso, a empresa detectou transações não autorizadas em algumas contas e emitiu reembolsos. Os clientes afetados receberão dois anos de monitoramento de crédito gratuito e serviços de restauração de identidade. O PayPal também alertou os usuários a monitorar suas contas e relatórios de crédito para atividades suspeitas, enfatizando que nunca solicita senhas ou códigos de autenticação por telefone, texto ou e-mail. Embora o número de clientes afetados não tenha sido divulgado, o PayPal redefiniu as senhas de todas as contas impactadas.

O Ministério das Finanças da França revelou um incidente de cibersegurança que comprometeu dados de aproximadamente 1,2 milhão de contas de usuários. A investigação indicou que hackers obtiveram acesso ao registro nacional de contas bancárias (FICOBA) utilizando credenciais roubadas de um servidor público que tinha acesso à plataforma de compartilhamento de informações interministerial. Os dados expostos incluem detalhes de contas bancárias, identidade dos titulares, endereços físicos e, em alguns casos, números de identificação fiscal. Após a detecção do ataque, o Ministério tomou medidas imediatas para restringir o acesso do invasor, mas acredita-se que os dados já estavam expostos. O FICOBA, gerido pela Direção Geral das Finanças Públicas (DGFiP), é um registro centralizado que documenta a existência e identificadores de contas bancárias na França. O ataque causou interrupções nas operações do sistema, e a restauração com segurança aprimorada está em andamento, sem previsão de retorno. O Ministério notificará individualmente os usuários afetados e alertou sobre tentativas de golpes via e-mail e SMS. A CNIL, autoridade de proteção de dados da França, também foi informada sobre o incidente.

A CarGurus, plataforma de venda de automóveis, foi alvo de um ataque cibernético realizado pelo grupo ShinyHunters, resultando no roubo de 1,7 milhão de registros corporativos. Os hackers utilizaram ataques de vishing, onde se passam por funcionários de TI para enganar colaboradores e obter informações sensíveis. A abordagem envolve ligações telefônicas para funcionários, alegando a necessidade de atualização nas configurações de autenticação multifator (MFA). Após a coleta de credenciais, os atacantes acessam dashboards de serviços como Okta, Entra ou Google SSO, permitindo o roubo de dados de plataformas como Salesforce e Microsoft 365. A CarGurus ainda não se pronunciou sobre o incidente, mas o grupo de hackers ameaçou divulgar os dados na dark web caso a empresa não tome medidas até 20 de fevereiro de 2026. Este ataque representa mais um caso na lista crescente de vítimas do ShinyHunters, que já comprometeu diversas organizações em um curto espaço de tempo.

Um bug no Copilot do Microsoft 365, que começou a ser identificado no final de janeiro de 2026, está permitindo que o assistente de inteligência artificial resuma e-mails confidenciais e exiba dados sigilosos inadvertidamente. O problema, que afeta a ferramenta de resumo de e-mails, ignora as políticas de prevenção de perda de dados que normalmente protegem comunicações sensíveis. O erro foi detectado pela primeira vez em 21 de janeiro e está relacionado ao código CW1226324. A Microsoft confirmou que a falha faz com que o Copilot comece a ler itens enviados e rascunhos, além de mensagens com selo confidencial, o que não era esperado. A empresa está trabalhando na correção do problema e já começou a implementar soluções desde o início de fevereiro, embora não tenha fornecido uma previsão para a resolução total. A Microsoft está monitorando a situação e contatando os usuários afetados para garantir que a funcionalidade retorne ao normal. Este incidente é tratado como um alerta, indicando um impacto potencialmente limitado, mas que ainda assim levanta preocupações sobre a segurança de dados sensíveis.

Os infostealers modernos têm ampliado o roubo de credenciais, coletando não apenas nomes de usuário e senhas, mas também dados de sessão e atividades dos usuários. Um estudo da Specops analisou mais de 90.000 vazamentos de infostealers, totalizando mais de 800 milhões de registros, que incluem credenciais, cookies de navegador e histórico de navegação. Essa coleta de dados permite que atacantes associem informações técnicas a usuários reais, tornando uma única infecção valiosa mesmo após a violação inicial. O maior risco é a facilidade com que os dados roubados conectam múltiplas contas e comportamentos a uma única pessoa, desmoronando a barreira entre identidade pessoal e profissional. A política de senhas da Specops ajuda a mitigar esse risco, bloqueando credenciais já comprometidas. Os dados vazados incluem informações de serviços profissionais como LinkedIn e GitHub, além de plataformas pessoais como Facebook e YouTube, facilitando ataques direcionados. A exposição de credenciais em dispositivos pessoais pode rapidamente escalar para riscos em ambientes corporativos, especialmente devido à reutilização de senhas. Portanto, a implementação de políticas de senhas mais robustas e a conscientização sobre a segurança são essenciais para proteger tanto identidades pessoais quanto corporativas.

Uma nova pesquisa do Citizen Lab revelou que autoridades quenianas utilizaram uma ferramenta forense comercial da empresa israelense Cellebrite para acessar o telefone de Boniface Mwangi, um ativista pro-democracia, durante sua detenção em julho de 2025. O telefone, que foi devolvido a Mwangi em setembro, não estava mais protegido por senha, indicando que a tecnologia da Cellebrite foi empregada para extrair dados sensíveis, como mensagens e informações pessoais. Este caso se junta a um relatório anterior que indicava o uso da mesma tecnologia por autoridades jordanianas para acessar dispositivos de ativistas críticos ao governo. A Cellebrite defendeu sua tecnologia, afirmando que é utilizada em conformidade com processos legais. Além disso, um relatório da Anistia Internacional destacou o uso do spyware Predator em Angola, que comprometeu o iPhone de um jornalista. O spyware permite acesso irrestrito a dispositivos e possui mecanismos sofisticados para evitar detecção. Esses incidentes refletem um padrão crescente de abusos de vigilância por governos, levantando preocupações sobre a privacidade e os direitos humanos.

A Microsoft confirmou um erro no Microsoft 365 Copilot que tem causado a exposição de e-mails confidenciais desde janeiro de 2023. O bug, identificado como CW1226324, afeta a funcionalidade de chat da aba de trabalho do Copilot, que resume incorretamente e-mails armazenados nas pastas de Itens Enviados e Rascunhos, incluindo mensagens com rótulos de confidencialidade. Esses rótulos foram criados para restringir o acesso a ferramentas automatizadas, mas o Copilot está ignorando essas configurações. A Microsoft começou a implementar uma correção em fevereiro, mas ainda não divulgou um cronograma para a resolução completa do problema. A empresa está monitorando a situação e contatando usuários afetados para verificar a eficácia da solução. Este incidente levanta preocupações significativas sobre a proteção de dados sensíveis e a conformidade com políticas de prevenção de perda de dados (DLP), especialmente em um contexto onde a segurança da informação é cada vez mais crítica para as organizações.

A Figure Technology Solutions, uma empresa de tecnologia financeira baseada em blockchain, sofreu uma violação de dados que resultou no roubo de informações pessoais de aproximadamente 1 milhão de contas. O incidente, que não foi divulgado publicamente pela empresa, foi confirmado por um porta-voz em uma declaração ao TechCrunch, que mencionou que os atacantes obtiveram acesso a um número limitado de arquivos por meio de um ataque de engenharia social. A plataforma de empréstimos fintech teve dados de 967.200 contas expostos, incluindo endereços de e-mail, nomes, números de telefone, endereços físicos e datas de nascimento. O grupo de extorsão ShinyHunters assumiu a responsabilidade pelo ataque, publicando 2,5 GB de dados supostamente roubados de candidatos a empréstimos. O ataque se insere em uma série de violações recentes que afetaram outras empresas de destaque, como Canada Goose e Match Group, muitas das quais foram alvo de campanhas de phishing por voz (vishing) que visavam contas de login de acesso único (SSO). A situação destaca a crescente ameaça de ataques de engenharia social e a importância de medidas de segurança robustas para proteger dados sensíveis.

O grupo hacker ShinyHunters, ativo desde 2020, tem se destacado por uma série de ataques cibernéticos a grandes empresas, incluindo Santander, Ticketmaster e Tinder. Recentemente, o grupo invadiu o Match Group, resultando no vazamento de 1,7 GB de dados de clientes, afetando até 10 milhões de usuários. O ShinyHunters se diferencia por sua abordagem sutil, focando no roubo de credenciais armazenadas em nuvem, ao invés de utilizar métodos tradicionais de ransomware. Eles utilizam táticas de engenharia social, como vishing, para enganar funcionários e obter informações sensíveis. A presença do grupo na dark web, especialmente no BreachForums, facilita a venda de dados vazados e a orquestração de novos ataques. A evolução das táticas do ShinyHunters torna suas ações mais sofisticadas e perigosas, representando uma ameaça significativa para a segurança digital das empresas. Especialistas alertam que a combinação de ataques direcionados e a exploração de vulnerabilidades humanas pode resultar em prejuízos financeiros e danos à reputação das organizações.

Um novo estudo da equipe de pesquisa da Intruder revelou que mais de 42.000 segredos, incluindo chaves de API e credenciais, estão expostos em aplicações JavaScript, representando um risco significativo para a segurança das organizações. A pesquisa analisou 5 milhões de aplicações e identificou 334 tipos diferentes de segredos, muitos dos quais eram credenciais ativas e críticas, que poderiam permitir acesso irrestrito a repositórios de código e serviços essenciais. Os scanners tradicionais falham em detectar esses segredos, pois não conseguem inspecionar adequadamente o código JavaScript que é incorporado durante o processo de construção. A análise revelou que tokens de plataformas como GitHub e GitLab, além de chaves de API de ferramentas de gerenciamento de projetos, estavam entre as exposições mais preocupantes. A pesquisa destaca a necessidade urgente de métodos de detecção que incluam a varredura de aplicações de página única (SPA) para evitar que segredos cheguem à produção. Com o aumento da automação e do uso de código gerado por IA, a situação pode se agravar, tornando essencial que as organizações adotem medidas proativas para proteger suas credenciais.

Recentemente, o vazamento de dados do Match Group, que inclui aplicativos como Tinder, OkCupid e Hinge, levantou preocupações sobre a segurança das informações pessoais dos usuários. Embora senhas vazadas sejam uma preocupação, os dados de localização são ainda mais críticos, pois podem expor a rotina e a segurança física dos indivíduos. A triangulação de dados de localização permite que cibercriminosos identifiquem onde a pessoa mora, trabalha e frequenta, aumentando o risco de stalking, furtos residenciais e até sequestros. O artigo destaca que, mesmo que os dados sejam considerados anônimos, a precisão da localização pode revelar informações sensíveis sobre a vida da pessoa. Para se proteger, recomenda-se limitar o acesso à localização apenas durante o uso do aplicativo e evitar vincular perfis de redes sociais que possam facilitar a identificação. Além disso, é importante ter cuidado com as fotos postadas, que podem revelar informações sobre o local de trabalho ou residência. A segurança digital deve ser uma prioridade, especialmente em plataformas que utilizam dados de localização de forma tão precisa.

A Tenga, fabricante japonesa de produtos de bem-estar sexual, foi alvo de um ataque cibernético que resultou no roubo de dados de clientes. Segundo informações, um funcionário da empresa foi vítima de um golpe de phishing, o que permitiu ao invasor acessar a caixa de entrada do e-mail e extrair informações sensíveis, como nomes, endereços de e-mail e detalhes de pedidos. O ataque não apenas comprometeu dados pessoais, mas também possibilitou o envio de mensagens de spam a funcionários e clientes. Em resposta ao incidente, a Tenga redefiniu as credenciais de acesso e implementou a autenticação multifator (MFA) em seus sistemas, embora não esteja claro se essa medida já estava em vigor antes do ataque. A empresa alertou seus clientes para que atualizassem suas senhas e permanecessem atentos a e-mails suspeitos. O impacto potencial desse tipo de violação pode incluir fraudes financeiras e roubo de identidade, tornando a situação crítica para os afetados.

A Academic Urology & Urogynecology of Arizona confirmou um vazamento de dados que afetou 73.281 pessoas, ocorrido em maio de 2025. Informações pessoais sensíveis, como números de Seguro Social, dados de cartões de crédito, informações de saúde e históricos médicos, foram comprometidas. O grupo de ransomware Inc reivindicou a responsabilidade pelo ataque, que foi detectado em 22 de maio de 2025, e a organização notificou as vítimas em agosto de 2025. A Academic Urology está oferecendo monitoramento de crédito gratuito e proteção contra roubo de identidade para as vítimas até 12 de maio de 2026. O grupo Inc, ativo desde julho de 2023, já realizou 157 ataques confirmados, com 54 deles direcionados a organizações de saúde, afetando mais de 4,8 milhões de registros pessoais. O aumento de ataques de ransomware no setor de saúde nos EUA levanta preocupações sobre a segurança de dados e a continuidade dos serviços, uma vez que hospitais podem ser forçados a interromper atendimentos e adotar métodos manuais até a recuperação dos sistemas. Este incidente destaca a vulnerabilidade das instituições de saúde e a necessidade de medidas de segurança robustas para proteger informações sensíveis.

As autoridades holandesas prenderam um homem de 40 anos que baixou documentos confidenciais da polícia, que foram compartilhados por engano. O incidente ocorreu quando o suspeito contatou a polícia sobre imagens relevantes para uma investigação em andamento. Um policial, ao responder, enviou um link de download de documentos em vez de um link para upload. O homem baixou os arquivos e, ao ser instruído a deletá-los, se recusou a fazê-lo a menos que recebesse algo em troca, configurando uma tentativa de extorsão. A polícia destacou que o ato de baixar arquivos de um link destinado ao upload pode ser considerado invasão de computador sob a legislação holandesa. Embora não haja evidências de que os documentos tenham sido distribuídos além do suspeito, a polícia iniciou uma investigação e enfatizou a obrigação legal de relatar erros e não acessar documentos não destinados ao receptor. O caso levanta questões sobre a responsabilidade de indivíduos que recebem informações confidenciais por engano e as implicações legais associadas a esses atos.

A Eurail B.V., operadora que oferece acesso a 250 mil quilômetros de ferrovias na Europa, confirmou que dados roubados em uma violação de segurança ocorrida este ano estão sendo vendidos na dark web. A empresa, com sede na Holanda, administra passes de trem populares entre jovens viajantes europeus. A violação comprometeu informações sensíveis, incluindo nomes completos, detalhes de passaporte, números de identificação, IBAN de contas bancárias, informações de saúde e dados de contato. A Eurail está investigando a extensão do vazamento e notificará os clientes afetados. As autoridades de proteção de dados foram informadas, conforme exigido pelo GDPR, e os clientes devem estar atentos a tentativas de phishing e fraudes. A empresa recomenda que os usuários atualizem suas senhas e monitorem suas contas bancárias para atividades suspeitas. Uma página de perguntas frequentes foi disponibilizada para suporte aos clientes, e dúvidas podem ser enviadas para um e-mail específico.

O grupo de extorsão de dados ShinyHunters anunciou ter roubado mais de 600 mil registros de clientes da Canada Goose, incluindo informações pessoais e dados de pagamento. A Canada Goose, uma marca canadense de roupas de luxo, afirmou que os dados parecem ser de transações passadas e que não há evidências de uma violação em seus sistemas. O conjunto de dados, com 1,67 GB, foi publicado em formato JSON e contém registros detalhados de pedidos, como nomes, endereços de e-mail, números de telefone, endereços de cobrança e entrega, além de informações parciais de cartões de pagamento. Embora não inclua números completos de cartões, as informações expostas podem ser utilizadas para phishing e fraudes. O grupo ShinyHunters negou que os dados tenham origem em ataques recentes a contas de SSO, afirmando que provêm de uma violação de um processador de pagamentos de terceiros. A empresa está revisando o conjunto de dados para avaliar sua precisão e escopo, mas ainda não se sabe quantos clientes podem ser afetados.

A Coreia do Sul multou as marcas de moda de luxo Louis Vuitton, Christian Dior Couture e Tiffany em US$ 25 milhões por não implementarem medidas de segurança adequadas, resultando em acesso não autorizado e exposição de dados de mais de 5,5 milhões de clientes. As três marcas, parte do grupo LVMH, sofreram vazamentos de dados após hackers acessarem seu serviço de gerenciamento de clientes baseado em nuvem. O caso da Louis Vuitton envolveu um dispositivo de um funcionário infectado por malware, comprometendo dados de 3,6 milhões de clientes. A Dior foi alvo de um ataque de phishing, onde um funcionário foi enganado a conceder acesso ao sistema, expondo dados de 1,95 milhão de clientes. A Tiffany também enfrentou um ataque semelhante, mas com um impacto menor, afetando 4.600 clientes. A Comissão de Proteção de Informações Pessoais da Coreia do Sul (PIPC) destacou que as soluções SaaS não isentam as empresas de sua responsabilidade na gestão segura dos dados dos clientes. As multas foram de US$ 16,4 milhões para a Louis Vuitton, US$ 9,4 milhões para a Dior e US$ 1,85 milhão para a Tiffany.

A plataforma brasileira Repediu, que atua no setor de delivery de alimentos, sofreu um vazamento significativo de dados, com informações de mais de 21,4 milhões de clientes expostas na dark web. Os hackers divulgaram amostras dos dados em fóruns clandestinos, revelando que informações sensíveis, como nomes completos, e-mails, números de telefone e histórico de compras, foram comprometidas. Além disso, 1,2 milhão de leads e dados de mais de 2.600 funcionários também foram afetados. O vazamento inclui arquivos com informações detalhadas que podem facilitar ataques de phishing, tornando as comunicações fraudulentas mais convincentes. O risco é elevado, pois os cibercriminosos podem usar esses dados para realizar ataques direcionados, como spear-phishing, que visam funcionários da empresa. Esse incidente destaca a vulnerabilidade das plataformas digitais e a necessidade de medidas de segurança robustas para proteger dados sensíveis dos usuários.

A operadora de telecomunicações holandesa Odido anunciou que foi alvo de um ataque cibernético que comprometeu os dados pessoais de aproximadamente 6,2 milhões de clientes. O incidente foi detectado no final de semana de 7 de fevereiro, levando a empresa a iniciar uma investigação com especialistas em cibersegurança. Os atacantes conseguiram acessar o sistema de contato com o cliente da Odido, permitindo o download de informações sensíveis, como endereços, números de telefone, e-mails e dados de identificação, como números de passaporte ou carteira de motorista. A empresa garantiu que informações mais críticas, como senhas e dados de cobrança, não foram afetadas. Após a descoberta do ataque, a Odido bloqueou o acesso não autorizado e notificou a Autoridade de Proteção de Dados da Holanda. A empresa está em processo de informar todos os clientes impactados e implementou medidas adicionais de segurança. Até o momento, não há evidências de que os dados tenham sido divulgados publicamente. O incidente destaca a vulnerabilidade das empresas de telecomunicações e a necessidade de robustecer as medidas de segurança para proteger informações sensíveis dos clientes.

O repositório clandestino Anna’s Archive, após enfrentar processos judiciais nos Estados Unidos movidos pelo Spotify, mudou seu domínio para a Groenlândia e começou a liberar músicas do serviço de streaming para download. O site, que anteriormente apenas indexava metadados das faixas, agora disponibiliza até 2,8 milhões de músicas, totalizando cerca de 6 terabytes de dados. A adição de 47 novos torrents, cada um contendo cerca de 60.000 arquivos, foi notada por usuários no último domingo (8). Embora o Anna’s Archive tenha removido temporariamente a seção dedicada ao Spotify após os processos, a nova listagem de downloads sugere que a plataforma pode continuar a expandir seu acervo. Até o momento, nem o Anna’s Archive nem o Spotify comentaram sobre a situação. Este incidente levanta questões sobre a legalidade do compartilhamento de conteúdo protegido por direitos autorais e os riscos associados ao uso de repositórios piratas.

Os aplicativos de stalkerware, utilizados para espionagem, representam uma ameaça significativa à privacidade e à segurança dos dados. Esses softwares permitem que usuários acessem informações pessoais de terceiros, como mensagens, chamadas e localização, muitas vezes sem o consentimento da vítima. Além do caráter ilegal e antiético, esses aplicativos apresentam vulnerabilidades que podem ser exploradas por hackers, resultando em vazamentos de dados sensíveis. Desde 2017, pelo menos 27 empresas que oferecem esses serviços foram alvo de ataques, expondo informações de mais de 500 mil usuários. Casos recentes, como o da Catwatchful, afetaram 26 mil pessoas, demonstrando a fragilidade da segurança desses sistemas. Mesmo que alguns pais utilizem esses aplicativos com a intenção de proteger seus filhos, a falta de segurança e a ilegalidade do monitoramento tornam essa prática arriscada. A recomendação é optar por ferramentas legítimas e sempre informar os jovens sobre a vigilância. O uso de stalkerware não só compromete a segurança dos dados, mas também pode levar a consequências legais severas.

Um hacktivista revelou mais de 500 mil registros confidenciais de usuários de aplicativos stalkerware, que são softwares utilizados para monitorar pessoas sem seu consentimento. O vazamento ocorreu a partir de falhas de segurança em uma empresa ucraniana chamada Struktura, que desenvolve aplicativos como Geofinder e uMobix, além do serviço Peekviewer, que permite acesso a contas privadas no Instagram. As informações expostas incluem dados de pagamento e endereços de e-mail dos clientes que utilizavam esses aplicativos para espionagem. O hacktivista alegou que a coleta de dados foi facilitada por um ‘bug trivial’ no site do fornecedor, e as informações foram divulgadas em fóruns da dark web. Este incidente destaca a vulnerabilidade de aplicativos que operam na ilegalidade e a crescente preocupação com a privacidade e a segurança dos dados, especialmente em um contexto onde a coleta de informações pessoais é comum. O vazamento de dados sensíveis não é um caso isolado, já que nos últimos anos houve vários incidentes semelhantes envolvendo aplicativos espiões.

As autoridades da Holanda, incluindo a Autoridade de Proteção de Dados (AP) e o Conselho da Judiciária, relataram que seus sistemas foram comprometidos por ataques cibernéticos que exploraram falhas de segurança recentemente divulgadas no Ivanti Endpoint Manager Mobile (EPMM). Em um comunicado ao parlamento, foi informado que dados de funcionários, como nomes e endereços de e-mail corporativos, foram acessados por pessoas não autorizadas. O Centro Nacional de Segurança Cibernética (NCSC) foi notificado sobre as vulnerabilidades em 29 de janeiro de 2026, e a Ivanti lançou patches para corrigir as falhas críticas (CVE-2026-1281 e CVE-2026-1340) no mesmo dia. Além disso, a Comissão Europeia também identificou indícios de um ataque cibernético em sua infraestrutura, embora tenha contido o incidente rapidamente. A empresa de tecnologia Valtori, da Finlândia, também relatou uma violação que expôs dados de até 50.000 funcionários do governo. Especialistas alertam que os ataques são realizados por atores altamente qualificados e bem financiados, e enfatizam a importância da resiliência em sistemas de segurança.

O grupo hacker ShinyHunters, conhecido por suas invasões a grandes empresas, anunciou a violação de sistemas das universidades de Harvard e da Pensilvânia. O ataque resultou no vazamento de mais de 1 milhão de registros da Universidade de Harvard, totalizando 1,1 GB de dados, enquanto a Universidade da Pensilvânia teve 1,2 milhão de registros comprometidos, somando 483 MB. Os dados vazados incluem informações pessoais e dados de doações. O ShinyHunters, ativo desde 2020, tem se destacado por suas táticas silenciosas e pela venda de dados na dark web. Recentemente, o grupo também se envolveu em ataques de vishing contra serviços como Google e Microsoft, roubando contas de login único (SSO). Este incidente ressalta a vulnerabilidade de instituições renomadas e a necessidade de reforço nas medidas de segurança cibernética.

A Comissão Europeia está investigando um ataque cibernético que comprometeu sua plataforma de gestão de dispositivos móveis, identificando vestígios de acesso não autorizado a informações pessoais de alguns funcionários, como nomes e números de telefone. Embora a Comissão tenha agido rapidamente, contendo o incidente em menos de 9 horas e não detectando comprometimento dos dispositivos móveis, a situação levanta preocupações sobre a segurança de infraestruturas críticas. O ataque está possivelmente relacionado a vulnerabilidades conhecidas no software Ivanti Endpoint Manager Mobile (EPMM), que também afetou outras instituições europeias, como a Autoridade de Proteção de Dados da Holanda. A Ivanti havia alertado sobre duas falhas críticas (CVE-2026-1281 e CVE-2026-1340) que permitiam a execução remota de código em dispositivos não corrigidos. A Comissão Europeia, que recentemente propôs novas legislações de cibersegurança, agora enfrenta o desafio de reforçar suas defesas contra ataques de grupos apoiados por estados e cibercriminosos.

O Flickr, popular plataforma de compartilhamento de fotos, notificou seus usuários sobre um grande vazamento de dados, que ocorreu devido à exposição de informações por um serviço de e-mail de terceiros. Os dados comprometidos incluem nome completo, endereço de e-mail, endereço IP e registros de atividade da conta. Embora a empresa tenha afirmado que não houve vazamento de senhas ou dados de cartões de crédito, a situação ainda é preocupante, pois pode permitir acesso não autorizado a informações sensíveis. O Flickr não revelou qual serviço terceirizado foi responsável pela falha, mas garantiu que o acesso ao sistema afetado foi encerrado rapidamente após a descoberta do problema. A empresa aconselha os usuários a revisar suas configurações de conta e a ficarem atentos a e-mails de phishing que possam explorar os dados vazados. Em um comunicado, o Flickr expressou suas desculpas pelo incidente e destacou que está tomando medidas para fortalecer a segurança de seus sistemas e melhorar o monitoramento de provedores de serviços externos.

O Anna’s Archive, uma biblioteca clandestina, enfrenta uma intensa batalha legal contra o Spotify, que resultou na perda de vários domínios, incluindo o recente .pm, devido à pressão dos EUA. O site, que armazena uma vasta coleção de músicas e outros conteúdos, foi processado pelo Spotify por supostamente obter centenas de terabytes de dados da plataforma. Após a perda do domínio .org, o Anna’s Archive optou por não divulgar mais os metadados do Spotify, mas a pressão legal continua. Em resposta, o repositório registrou um novo domínio na Groenlândia, o annas-archive.gl, utilizando servidores que dificultam o cumprimento de ordens judiciais dos EUA. Essa estratégia geopolítica reflete a tensão entre a Dinamarca e os Estados Unidos, que têm interesse na ilha. Apesar disso, a tática não é infalível, como demonstrado pelo caso do The Pirate Bay, que também foi suspenso na Groenlândia. A situação levanta questões sobre a eficácia das medidas antipirataria e a proteção de conteúdos digitais na era da informação.

A plataforma de publicação Substack sofreu um vazamento de dados no final de 2025, afetando aproximadamente 697.313 usuários. O incidente, que foi revelado recentemente, ocorreu por meio de scraping, uma técnica de coleta de dados frequentemente utilizada por modelos de linguagem. Os dados expostos incluem informações sensíveis como nome completo, endereços de e-mail, números de telefone, IDs de usuário e Stripe, além de fotos de perfil e biografias. Amostras dessas informações foram encontradas em fóruns da dark web, o que aumenta o risco de ataques de phishing e ransomware direcionados aos usuários afetados. Embora a empresa tenha corrigido rapidamente a vulnerabilidade, os usuários devem permanecer vigilantes quanto a comunicações suspeitas. O Substack, um serviço popular para criadores de conteúdo, oferece ferramentas de publicação e monetização, tornando a proteção de dados ainda mais crítica para seus usuários.

A plataforma de investimentos Betterment confirmou que um vazamento de dados afetou 1.435.174 contas, conforme verificado pelo serviço Have I Been Pwned?. O incidente, ocorrido em janeiro de 2026, foi resultado de um ataque de engenharia social que levou um funcionário a compartilhar credenciais de acesso a um software de terceiros. Os atacantes utilizaram essa brecha para enviar e-mails de phishing fraudulentos, disfarçados como comunicações da Betterment, visando um subconjunto de clientes. Embora os dados expostos incluam informações de contato, como nomes e endereços de e-mail, a investigação da CrowdStrike, contratada pela empresa, não encontrou evidências de que contas de usuários ou credenciais tenham sido comprometidas. A Betterment alertou seus clientes para ficarem atentos a possíveis ataques de phishing e engenharia social, reforçando a importância da vigilância em relação a comunicações suspeitas.

A Jefferson Blount St. Claire Mental Health Authority, localizada em Birmingham, Alabama, notificou 30.434 pessoas sobre um vazamento de dados ocorrido em novembro de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de seguros de saúde, datas de nascimento e informações médicas, como registros de pacientes e prescrições. O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque, exigindo um resgate de $200.000 para não divulgar 168,6 GB de dados roubados. A investigação revelou que o acesso não autorizado ocorreu em 25 de novembro de 2025, mas a JBS não confirmou se pagou o resgate ou como a violação ocorreu. O ataque destaca a vulnerabilidade do setor de saúde a ataques cibernéticos, com mais de 8,9 milhões de pessoas afetadas por incidentes semelhantes em 2025. A falta de medidas de proteção, como monitoramento de crédito para as vítimas, levanta preocupações sobre a segurança dos dados e a privacidade dos pacientes.

A plataforma de compartilhamento de fotos Flickr notificou seus usuários sobre uma possível violação de dados após uma vulnerabilidade em um provedor de serviços de e-mail de terceiros. A falha expôs informações sensíveis, incluindo nomes reais, endereços de e-mail, endereços IP e atividades de conta dos usuários. Fundada em 2004, a Flickr abriga mais de 28 bilhões de fotos e vídeos, com 35 milhões de usuários mensais. A empresa não revelou qual provedor foi afetado nem quantos usuários podem ter sido impactados. Após ser informada sobre a vulnerabilidade em 5 de fevereiro, a Flickr desativou o acesso ao sistema comprometido em poucas horas. Embora a falha possa ter permitido acesso não autorizado a algumas informações dos membros, a empresa garantiu que senhas e números de cartões de pagamento não foram comprometidos. A Flickr aconselhou os usuários afetados a revisarem suas configurações de conta e a atualizarem suas senhas, especialmente se usarem as mesmas credenciais em outros serviços. A empresa se desculpou pelo incidente e afirmou que está tomando medidas para evitar problemas semelhantes no futuro.

Um estudo da Cybernews revelou que mais de 700 TB de dados de usuários foram expostos devido a vulnerabilidades em 1,8 milhão de aplicativos Android disponíveis na Google Play Store. Os dados vazados incluem informações sensíveis, como dados bancários e chaves de API, resultantes de ataques direcionados a usuários desses aplicativos. A pesquisa identificou que 72% dos aplicativos analisados continham pelo menos um dado confidencial embutido no código-fonte, enquanto 81% estavam relacionados a projetos armazenados no Google Cloud, o que facilita o acesso por agentes maliciosos. A maioria dos aplicativos utiliza hardcoding, uma técnica de criptografia inadequada que armazena informações sensíveis diretamente no código-fonte. Isso aumenta o risco de que hackers explorem brechas de segurança para manipular contas e realizar fraudes. Especialistas alertam que os usuários devem ser cautelosos ao baixar aplicativos, pois as barreiras de segurança do Google não são infalíveis. O cenário é preocupante, especialmente para aplicativos que lidam com operações financeiras, onde as consequências podem ser devastadoras.

Em janeiro, hackers invadiram a plataforma de investimentos automatizados Betterment, comprometendo dados pessoais de aproximadamente 1,4 milhão de contas. A Betterment, que gerencia cerca de 65 bilhões de dólares em ativos, não revelou o número exato de clientes afetados, mas a análise do serviço Have I Been Pwned confirmou a exposição de informações como endereços de e-mail, nomes, locais geográficos, datas de nascimento, endereços físicos e números de telefone. Após a invasão, os atacantes enviaram e-mails fraudulentos disfarçados de promoções da empresa, tentando enganar clientes com uma falsa oferta de recompensas em criptomoedas. A Betterment assegurou que não houve comprometimento das contas dos clientes e que o acesso não autorizado foi removido. Além disso, a empresa confirmou que a interrupção em seu site e aplicativo móvel foi causada por um ataque de negação de serviço (DDoS). Uma investigação forense, realizada em parceria com a CrowdStrike, não encontrou evidências de que informações sensíveis, como senhas ou dados de login, foram acessadas. O incidente destaca a importância da segurança cibernética em plataformas financeiras e a necessidade de vigilância constante contra ataques de engenharia social.

A plataforma de newsletters Substack informou seus usuários sobre um vazamento de dados ocorrido em outubro de 2025, onde atacantes conseguiram acessar endereços de e-mail e números de telefone. O CEO da empresa, Chris Best, revelou que a falha foi identificada apenas em fevereiro de 2026, quatro meses após o incidente. Apesar do acesso a dados pessoais, não houve comprometimento de informações financeiras ou credenciais de acesso. Um banco de dados com 697.313 registros supostamente roubados foi vazado em um fórum de hackers, mas a Substack não divulgou o número exato de usuários afetados. A empresa afirmou que já corrigiu a vulnerabilidade explorada e alertou os usuários sobre possíveis tentativas de phishing que possam utilizar as informações roubadas. Best enfatizou que não há evidências de que os dados estejam sendo mal utilizados, mas recomendou cautela ao lidar com mensagens suspeitas. Este incidente é um lembrete da importância da segurança de dados, especialmente em plataformas que lidam com informações pessoais de usuários.

Uma análise abrangente realizada por pesquisadores da Flare em 2025 revelou que mais de 10.000 imagens de contêineres no Docker Hub continham segredos expostos, como chaves de API, tokens de nuvem e credenciais de CI/CD. Esses vazamentos, muitas vezes não intencionais, ocorrem em repositórios públicos e representam falhas estruturais na forma como o software moderno é construído e operado. Um exemplo alarmante foi o vazamento de credenciais que comprometeu 165 organizações durante o incidente da Snowflake em 2024, onde credenciais antigas foram utilizadas por atacantes para acessar dados sensíveis. Outro caso notável foi a exposição de um token do GitHub da Home Depot, que permaneceu ativo por mais de um ano, permitindo acesso a sistemas internos críticos. Esses incidentes destacam a necessidade urgente de monitoramento e governança de identidades não humanas (NHIs), que são essenciais para a automação e operação de serviços em nuvem. A falta de gestão adequada dessas credenciais pode resultar em acessos não autorizados e danos significativos às organizações. Portanto, a segurança das NHIs deve ser uma prioridade nas estratégias de cibersegurança das empresas.

A Neurological Associates of Washington, localizada nos arredores de Seattle, confirmou que notificou 13.500 residentes do estado sobre um vazamento de dados ocorrido em dezembro de 2025. O ataque, reivindicado pelo grupo cibercriminoso DragonForce, comprometeu informações sensíveis, incluindo números de Seguro Social, códigos de deficiência, dados médicos e datas de nascimento. O grupo afirmou ter roubado 1,4 TB de dados da clínica e publicou amostras dos documentos supostamente furtados em seu site de vazamento. Embora a clínica tenha reconhecido DragonForce como o atacante, a autenticidade dos dados não pôde ser verificada. A clínica informou que seu servidor, que armazenava registros médicos de 2019 a 2025, foi atacado e criptografado, resultando no roubo de dados de um de seus computadores. Para mitigar os impactos, a Neurological Associates de Washington está oferecendo 12 meses de monitoramento de crédito gratuito aos afetados. O grupo DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 51 ataques confirmados, afetando mais de 7,6 milhões de registros pessoais, incluindo ataques a provedores de saúde. Os ataques de ransomware em instituições de saúde nos EUA têm se tornado cada vez mais frequentes, comprometendo a segurança e a privacidade dos pacientes.

A Iron Mountain, empresa de armazenamento e recuperação de dados, confirmou que um recente incidente de segurança, atribuído ao grupo de extorsão Everest, envolveu principalmente materiais de marketing. A empresa, com sede em Portsmouth, New Hampshire, e com mais de 240 mil clientes em 61 países, informou que os atacantes acessaram uma única pasta em um servidor de compartilhamento de arquivos utilizando credenciais comprometidas. Segundo a Iron Mountain, não houve envolvimento de ransomware ou malware, e nenhum sistema adicional da empresa foi comprometido. O grupo Everest, que se destacou por suas táticas de extorsão de dados, não conseguiu acessar informações confidenciais ou sensíveis de clientes. A empresa desativou a credencial comprometida e assegurou que a situação está sob controle. O incidente destaca a importância da segurança cibernética, especialmente em um cenário onde grupos como o Everest têm se tornado mais ativos, visando principalmente organizações de saúde e empresas de grande porte. A Iron Mountain reafirma seu compromisso com a proteção de dados e a transparência em suas operações.

O Spotify, em colaboração com grandes gravadoras como Universal Music Group, Sony Music Entertainment e Warner Music Group, processou o repositório clandestino Anna’s Archive por violação massiva de direitos autorais. A ação judicial, que exige uma indenização exorbitante de US$ 13 trilhões, surge após o vazamento de 300 TB de músicas, incluindo 86 milhões de faixas do catálogo do Spotify. Este número representa 99,6% das reproduções na plataforma e cerca de 37% do total de 256 milhões de faixas disponíveis. Após o incidente, o Spotify desativou contas de usuários que estavam extraindo dados ilegalmente e moveu uma ação judicial no final de 2025. O juiz Jed S. Rakoff concedeu uma liminar que proíbe o Anna’s Archive de distribuir os arquivos extraídos, enquanto provedores de serviços como a Cloudflare também estão impedidos de hospedar o repositório. O caso destaca a crescente preocupação com a segurança e a proteção de direitos autorais na era digital, especialmente em um cenário onde a pirataria e o vazamento de dados se tornam cada vez mais comuns.

O Match Group, conglomerado responsável por aplicativos de relacionamento como Tinder, OkCupid e Hinge, confirmou um vazamento de dados que comprometeu informações de até 10 milhões de usuários. O ataque foi realizado pelo grupo hacker ShinyHunters, que anunciou o roubo na dark web. O vazamento, que totaliza 1,7 GB de dados, foi possível devido ao comprometimento de uma conta Okta com login único (SSO), que deu acesso a instâncias de marketing da empresa, incluindo contas do Google Drive e Dropbox. Embora o Match Group tenha afirmado que não encontrou evidências de acesso a credenciais financeiras ou informações privadas, os dados de localização e informações de identificação pessoal (PII) foram expostos. A empresa está em processo de contatar os usuários afetados e recomenda a adoção de autenticação em dois fatores e outras soluções de segurança para mitigar riscos futuros. O incidente destaca a vulnerabilidade de sistemas que dependem de aplicativos de terceiros e a importância de medidas de segurança robustas.

A Alpine Ear, Nose & Throat (AENT) confirmou um vazamento de dados ocorrido em novembro de 2024, afetando 65.648 pessoas. As informações comprometidas incluem números de Seguro Social, dados de cartões de crédito, informações financeiras, médicas e de seguro saúde, além de dados demográficos e datas de nascimento. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque, afirmando ter roubado dados financeiros e de pacientes da instituição. Embora a AENT tenha publicado um aviso preliminar em janeiro de 2025, os detalhes sobre o número de vítimas e os tipos de dados só foram revelados agora. A investigação forense da AENT indicou que houve acesso não autorizado aos sistemas. A empresa está oferecendo monitoramento de crédito gratuito para as vítimas até 30 de abril de 2026. O ataque destaca a crescente preocupação com a segurança cibernética no setor de saúde, onde ataques de ransomware têm se tornado cada vez mais comuns, comprometendo dados sensíveis e colocando em risco a privacidade e a segurança dos pacientes.

As Escolas Públicas de Portland, no Maine, confirmaram um vazamento de dados que afetou 12.128 pessoas, revelando informações pessoais sensíveis, como números de Seguro Social, dados financeiros, informações médicas e de seguro de saúde, além de documentos de identificação. O grupo cibercriminoso RansomHub assumiu a responsabilidade pelo ataque, que ocorreu em fevereiro de 2025, e alegou ter roubado 110 GB de dados da rede da escola. Embora a PPS tenha notificado os afetados, não confirmou se pagou um resgate ou como o ataque foi realizado. A investigação revelou que o acesso não autorizado à rede foi resultado de um ataque cibernético, e a PPS está oferecendo monitoramento de crédito gratuito e seguro contra roubo de identidade aos afetados. O RansomHub, ativo desde 2024, é conhecido por atacar instituições educacionais, tendo realizado 767 ataques de ransomware até março de 2025, afetando mais de 3,9 milhões de registros pessoais em escolas e universidades nos EUA.

O serviço de notificação de vazamento de dados Have I Been Pwned revelou que um incidente de segurança na rede de restaurantes Panera Bread comprometeu 5,1 milhões de contas, em vez dos 14 milhões inicialmente reportados. O ataque foi atribuído ao grupo de extorsão ShinyHunters, que alegou ter roubado uma variedade de informações pessoais identificáveis (PII) e dados de contato de usuários. O grupo vazou um arquivo de quase 760 MB na dark web, contendo dados de contas da Panera Bread. A ShinyHunters afirmou que o acesso aos sistemas da empresa foi obtido por meio de um código de autenticação de único sinal (SSO) da Microsoft Entra, como parte de uma campanha de vishing que visava contas SSO em várias organizações de destaque. Embora a Panera Bread tenha confirmado o vazamento e notificado as autoridades, ainda não emitiu uma declaração oficial sobre o incidente. Além disso, o grupo ShinyHunters também comprometeu outras empresas, como Match Group e SoundCloud, aumentando as preocupações sobre a segurança de dados em plataformas amplamente utilizadas. O incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger informações sensíveis.

O jogo multiplayer NationStates confirmou um vazamento de dados após um incidente de segurança que levou o site a ser retirado do ar para investigação. Um jogador, que havia reportado uma vulnerabilidade crítica no código do aplicativo, ultrapassou os limites autorizados e obteve execução remota de código (RCE) no servidor de produção, copiando dados de usuários. O ataque explorou uma falha em uma nova funcionalidade chamada ‘Dispatch Search’, que permitiu ao atacante combinar a falta de sanitização de entradas com um bug de dupla análise. O vazamento expôs endereços de e-mail, hashes de senhas armazenadas em MD5, endereços IP e strings UserAgent de navegadores. Embora o atacante tenha afirmado que os dados foram deletados, a equipe do jogo não pode verificar essa informação e considera os dados comprometidos. O site deve voltar a funcionar em dois a cinco dias, enquanto a equipe realiza auditorias de segurança e reestrutura o servidor. O incidente foi reportado às autoridades competentes e destaca a importância de práticas robustas de segurança cibernética, especialmente em plataformas que lidam com dados de usuários.

Um júri federal dos EUA condenou Linwei Ding, ex-engenheiro de software do Google, por roubar dados de supercomputadores de IA da empresa e compartilhá-los secretamente com empresas de tecnologia da China. Ding foi indiciado em março de 2024 após mentir e não cooperar com a investigação interna do Google, resultando em sua prisão na Califórnia. Entre maio de 2022 e abril de 2023, ele roubou mais de 2.000 páginas de materiais confidenciais relacionados à IA, que foram armazenados em sua conta pessoal do Google Cloud. Os documentos continham informações cruciais sobre a infraestrutura de supercomputação da Google, tecnologias proprietárias de TPU e GPU, software de orquestração para cargas de trabalho de IA em larga escala e tecnologia de rede SmartNIC. Além de sua função no Google, Ding tinha vínculos secretos com duas empresas de tecnologia baseadas na China e chegou a negociar um cargo de CTO em uma delas. Ele fundou sua própria empresa de IA na China e buscou ajudar o governo chinês a desenvolver infraestrutura de computação em nível internacional. Após um julgamento de 11 dias, Ding foi condenado por espionagem econômica e roubo de segredos comerciais, com penas que podem chegar a 15 anos de prisão. A sentença ainda não foi anunciada.

Um pesquisador de segurança, Jatin Banga, revelou que perfis privados do Instagram estavam vazando links para fotos privadas em respostas HTML acessíveis a usuários não autenticados. O recurso de conta privada do Instagram deveria restringir o acesso a fotos, vídeos e histórias apenas a seguidores aprovados. No entanto, Banga encontrou que, em certos dispositivos móveis, o código-fonte HTML de perfis privados continha links e legendas de fotos que deveriam ser restritas. Ele relatou a vulnerabilidade à Meta, empresa-mãe do Instagram, em 12 de outubro de 2025. Embora a Meta tenha corrigido o problema rapidamente, o pesquisador contestou a classificação da falha como um problema de cache de CDN, afirmando que se tratava de uma falha de autorização no servidor. Apesar de suas tentativas de esclarecer a situação, a Meta encerrou o caso como ’não aplicável’, sem uma análise de causa raiz. Banga expressou preocupações sobre a falta de transparência e a possibilidade de que a falha tenha sido explorada antes de ser corrigida. O incidente destaca a importância da segurança em plataformas amplamente utilizadas e a necessidade de uma resposta adequada a vulnerabilidades reportadas.

Uma falha de segurança nos sistemas da Bondu, fabricante de brinquedos com inteligência artificial, resultou na exposição de mais de 50 mil registros de conversas privadas de crianças. A vulnerabilidade permitia que qualquer pessoa com uma conta do Gmail acessasse o portal da empresa, onde os pais poderiam monitorar as interações dos filhos com os brinquedos. Os pesquisadores de cibersegurança Joseph Thacker e Joel Margolis descobriram que, além das transcrições das conversas, informações sensíveis como nomes, datas de nascimento e dados familiares também estavam acessíveis. Após a notificação do problema, a Bondu desativou rapidamente o portal e implementou medidas de segurança mais robustas. O CEO da empresa, Fateen Anam Rafid, afirmou que a falha foi corrigida em poucas horas e que não houve evidências de acesso não autorizado além dos pesquisadores. Apesar de a Bondu afirmar que apenas transcrições escritas eram armazenadas, os brinquedos poderiam compartilhar dados com Google e OpenAI, levantando preocupações sobre a privacidade das crianças. Este incidente destaca a importância de uma segurança robusta em dispositivos conectados e a necessidade de vigilância constante sobre a proteção de dados sensíveis.