Em fevereiro de 2026, a empresa de serviços financeiros Figure sofreu uma violação de dados que expôs cerca de 967.200 registros de e-mail. O incidente não envolveu exploração de vulnerabilidades, mas sim a exposição direta de dados, permitindo que adversários realizassem ataques como credential stuffing e phishing direcionado. Os atacantes podem usar os e-mails expostos para testar combinações de senhas em portais corporativos, resultando em uma taxa de sucesso de 2 a 3%, o que poderia significar até 29.000 credenciais válidas. Além disso, ferramentas de inteligência artificial permitem a criação rápida de campanhas de phishing personalizadas, aumentando a eficácia dos ataques. A análise destaca que a autenticação multifator (MFA) tradicional não é suficiente para interromper esses fluxos de ataque, pois os adversários podem usar técnicas como relay de phishing, onde as credenciais são capturadas em tempo real. O artigo enfatiza a necessidade de uma arquitetura de autenticação mais robusta, que inclua verificação biométrica e chaves privadas de hardware, para garantir que o usuário autorizado esteja presente no momento da autenticação. Com a crescente preocupação sobre a segurança de dados e a conformidade com a LGPD, as organizações precisam reavaliar suas estratégias de autenticação para proteger informações sensíveis.
Fonte: https://www.bleepingcomputer.com/news/security/when-attackers-already-have-the-keys-mfa-is-just-another-door-to-open/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
09/04/2026 • Risco: ALTO
VAZAMENTO
Vazamento de dados da Figure expõe 967 mil registros de e-mail
RESUMO EXECUTIVO
A violação de dados da Figure expõe a fragilidade das autenticações tradicionais e a necessidade de soluções mais robustas. A capacidade de um adversário de explorar credenciais válidas através de técnicas como phishing em tempo real destaca a urgência de reavaliar as práticas de segurança em ambientes corporativos.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras e danos à reputação devido a acessos não autorizados.
Operacional
Exposição de 967.200 registros de e-mail, potencial acesso a 29.000 credenciais válidas.
Setores vulneráveis
['Setor financeiro', 'Tecnologia da informação']
📊 INDICADORES CHAVE
967.200 registros de e-mail expostos
Indicador
Taxa de sucesso de 2 a 3% em ataques de credential stuffing
Contexto BR
Até 29.000 credenciais válidas potencialmente acessíveis
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar logs de acesso e identificar atividades suspeitas relacionadas a e-mails expostos.
2
Implementar autenticação multifator mais robusta e considerar soluções de autenticação biométrica.
3
Monitorar continuamente tentativas de acesso não autorizadas e atividades de phishing.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados e a eficácia das autenticações em suas organizações, especialmente em um cenário de crescente regulamentação e ataques cibernéticos.
⚖️ COMPLIANCE
Implicações diretas na LGPD, que exige proteção de dados pessoais e pode resultar em penalidades severas.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
