Relatório de (In)segurança: Vazamento no Burger King, Crianças Hackers, e Um ladrão de R$5 Milhões em motosserras
07.10.2025
VoltarRelatório de (In)segurança: Vazamento no Burger King, Crianças Hackers, e Um ladrão de R$5 Milhões em motosserras
Aqui está nosso último resumo de incidentes de segurança incomuns conduzidos por insiders e outras histórias de cibersegurança que acompanhamos no mês passado. Este relatório inclui: novos detalhes sobre o caso insider na Coinbase, mais uma plataforma de IA vazada, e descobertas recentes de pesquisadores no setor de fast-food dos EUA.
Mingau e Senhas: Quando os Alunos se Tornam Insiders
O que aconteceu: Mais da metade dos incidentes de segurança relacionados a insiders em escolas do Reino Unido foram causados por estudantes.
Como aconteceu: Em 11 de setembro de 2025, o Escritório do Comissário de Informação do Reino Unido (ICO) divulgou um estudo incomum. O órgão revisou 215 relatórios de violações de dados pessoais relacionadas a insiders no setor de educação e concluiu que 57% eram obra dos próprios alunos.
Um caso marcante envolveu um estudante que acessou o sistema de informações da escola usando credenciais de um funcionário. Uma vez dentro, ele visualizou, alterou e até apagou dados pessoais de mais de 9.000 pessoas. Como exatamente ele conseguiu as credenciais do funcionário ainda não está claro. No entanto, as estatísticas do ICO sugerem que pode ter sido por erro do funcionário — por exemplo, deixando um laptop de trabalho desacompanhado.
Em outro caso, três estudantes do sexto ano (!) conseguiram acesso não autorizado a registros de mais de 1.400 estudantes. Depois, eles admitiram que fizeram isso por curiosidade sobre cibersegurança e para testar suas habilidades. Para a invasão, eles simplesmente baixaram uma ferramenta de burlar senha disponível na internet.
Karma em Ação: Contratada da Coinbase Acusada de Esconder Vazamento Interno
O que aconteceu: Um parceiro terceirizado da Coinbase é acusado de esconder um incidente interno.
Como aconteceu: Já havíamos reportado no início deste ano o caso insider na Coinbase. A corretora de criptomoedas foi vítima de funcionários terceirizados que fotografaram dados de clientes na tela e venderam para criminosos — mais de 69 mil pessoas foram afetadas.
Em 16 de setembro, as vítimas entraram com uma ação coletiva contra a TaskUs, a empresa de suporte terceirizado contratada pela Coinbase. O processo cita uma funcionária, Ashita Mishra, como uma das principais envolvidas. Ela supostamente começou a tirar fotos dos dados dos clientes da Coinbase em setembro de 2024, até 200 fotos por dia, ganhando US$ 200 por imagem.
Mishra compartilhou seu esquema de “dinheiro fácil” com colegas, que também aderiram à iniciativa. Segundo documentos judiciais, a gestão da TaskUs sabia da atividade ilegal. Investigadores até encontraram mais de 10 mil fotos confidenciais de clientes da Coinbase no telefone de Mishra.
Quando o escândalo veio à tona, a TaskUs dispensou toda a equipe que trabalhava com a Coinbase, esperando que o problema desaparecesse. Não deu certo — funcionários antigos vazaram informações, e agora a empresa enfrenta acusações de esconder deliberadamente o vazamento.
A TaskUs adotou uma estratégia de defesa polêmica: alegando que apenas dois insiders estavam envolvidos e sugerindo que alguns funcionários da Coinbase também eram coniventes. Como essa batalha judicial vai terminar, ainda não se sabe, mas as chances não parecem favoráveis à empresa terceirizada. Por ora, o setor acompanha o drama legal de perto.
O Inspetor de Dispositivos: Funcionário de TI Rouba R$5 Milhões do Antigo Empregador
O que aconteceu: Um ex-funcionário de TI fraudou seu antigo empregador, Milwaukee Electric Tool, roubando produtos no valor de mais de R$5 milhões.
Como aconteceu: De março de 2024 a março de 2025, Matthew Young usou seu acesso aos sistemas de TI da empresa para criar pedidos fraudulentos de produtos. Ele gerava uma solicitação de entrega, enviava os produtos para um endereço que controlava e depois apagava os registros do pedido para esconder as provas. Naturalmente, nenhum pagamento foi efetuado.
Ao todo, Young criou e deletou 115 pedidos. Ele revendia os equipamentos roubados para clientes reais da Milwaukee Electric Tool, embolsando mais de R$5 milhões.
O esquema dele caiu quando colegas notaram anomalias e denunciaram. Investigadores policiais realizaram uma auditoria interna, questionaram funcionários e recuperaram logs de pedidos apagados. Young agora responde a 14 acusações. Se for condenado em todas, pode pegar até 98 anos de prisão e pagar uma multa pesada.
Falhas no Fast-Food: Plataforma do Burger King Exposta com Dados de Funcionários e Clientes
O que aconteceu: Uma vulnerabilidade nos sistemas internos da Restaurant Brands International (RBI), dona do Burger King, expôs dados de funcionários e gravações de áudio de pedidos de clientes.
Como aconteceu: O hacker ético BobDaHacker, já conhecido por descobertas anteriores no setor de alimentação, se juntou a “BobTheShoplifter” para investigar os sistemas da RBI. A RBI é proprietária do Burger King, Tim Hortons e Popeyes.
Os resultados foram alarmantes:
- Ficou aberto o cadastro na plataforma Assistant. Novas contas recebiam senhas em texto simples por email — igual ao que os pesquisadores já tinham observado com os sistemas do McDonald’s.
- Usando APIs GraphQL, os pesquisadores exploraram a função createToken para aumentar privilégios, transformando uma conta de teste em uma conta de administrador completa. Isso lhes deu acesso ao sistema de registros da loja e perfis de funcionários.
- Páginas de diagnóstico estavam “protegidas” com uma senha embutida — literalmente “admin”.
O mais chocante foi a capacidade de acessar gravações de áudio do drive-thru. Esses arquivos, que frequentemente continham dados pessoais dos clientes, eram armazenados para análise da qualidade do serviço e treinamento de IA para avaliar humor do cliente, desempenho da equipe e eficiência nas vendas.
Os hackers divulgaram as vulnerabilidades em uma hora. A RBI corrigiu as falhas no mesmo dia — mais rápido que alguns concorrentes têm reagido em situações semelhantes.
IA Sem Segurança: Vyro AI Deixa Mais de 116GB de Dados de Usuários Expostos
O que aconteceu: A desenvolvedora de IA Vyro AI deixou mais de 116 GB de dados sensíveis de usuários expostos online.
Como aconteceu: Em 22 de abril de 2025, pesquisadores do Cybernews descobriram bancos de dados do Vyro acessíveis publicamente. O vazamento continha logs atualizados continuamente de três aplicativos:
- ImagineArt (mais de 10 milhões de downloads)
- Chatly (mais de 100 mil downloads)
- Chatbotx (~50 mil visitantes mensais)
Os dados expostos incluíam solicitações de usuários, tokens de autenticação e detalhes de dispositivos e navegadores. Essas informações poderiam permitir invasões às contas, rastreamento de usuários e extração de conteúdo privado de chats.
Motores de busca já tinham indexado os bancos de dados em fevereiro de 2025. Os pesquisadores descobriram em abril, mas aguardaram a divulgação pública até o problema ser resolvido. A Vyro, porém, levou mais tempo para notificar os reguladores — só informou o incidente ao CERT nacional no final do agosto e a notícia veio a público em setembro.
O caso Vyro não é único. Até líderes do setor têm dificuldades: em agosto de 2025, usuários do ChatGPT e Grok descobriram seus chats privados expostos nos resultados do Google por causa de recursos de compartilhamento de links mal projetados.
Mais uma vez, a corrida por lançar recursos novos ficou acima da segurança básica.