Relatório de (In)segurança: adolescentes envolvidos em golpes de BEC, vazamento de token no GitHub e um “match” que saiu caro

15.06.2026

Nesta edição do relatório de (in)segurança: adolescentes por trás de golpes de BEC, uma invasão que permaneceu oculta por dois anos na rede de uma concessionária de água, um token do GitHub comprometido e outros incidentes em que a confiança custou caro.

Reservatório de Dados

O que aconteceu:Uma concessionária de água do Reino Unido foi multada em mais de £900 mil, cerca de R$ 6,2 milhões, depois que um ataque de phishing resultou em uma violação de dados pessoais. O incidente passou despercebido por quase dois anos.

Como aconteceu:Em 2022, dados pertencentes à South Staffordshire Water Plc – empresa responsável por operar redes de abastecimento de água e fornecer água potável a cerca de um quarto do Reino Unido – foram expostos online. O grupo de ransomware Cl0p reivindicou a autoria do ataque. As informações vazadas incluíam nomes completos, endereços residenciais, e-mails, números de telefone, datas de nascimento, credenciais de clientes, dados bancários e informações de funcionários.

O Information Commissioner’s Office (ICO), autoridade britânica de proteção de dados, conduziu uma investigação e concluiu que os cibercriminosos haviam acessado os sistemas de TI da South Staffordshire Water ainda em 2020. A violação começou com um ataque de phishing, que permitiu aos invasores instalar malware no ambiente da empresa. O malware permaneceu sem detecção por 20 meses. Entre maio e julho de 2022, os atacantes elevaram seus privilégios dentro da rede da concessionária e obtiveram controle em nível de domínio. A South Staffordshire Water só identificou o incidente em julho de 2022, ao investigar problemas de desempenho em um de seus sistemas de TI.

O ICO concluiu que falhas graves de cibersegurança na South Staffordshire Water deixaram dados de clientes e funcionários expostos por quase dois anos. Entre os problemas identificados estavam controles inadequados contra escalonamento de privilégios, uso de software obsoleto – como o Windows Server 2003 – ausência de atualizações, gestão deficiente de vulnerabilidades e falta de testes regulares de segurança internos e externos. Os investigadores também constataram que o monitoramento de segurança da empresa cobria apenas 5% de sua infraestrutura de TI.

Golpe quase perfeito

O que aconteceu: Adolescentes roubaram US$ 2,89 milhões (~ R$ 14,71 milhões) de uma empresa norte-americana de transferência de dinheiro por meio de um ataque de Business Email Compromise (BEC).

Como aconteceu: Segundo a polícia, dois jovens de 19 anos e um adolescente de 16 anos conspiraram com um grupo hacker da Malásia. Os hackers os ajudaram a criar empresas de fachada para executar o esquema de BEC. Os adolescentes também abriram contas corporativas no DBS, instituição financeira sediada em Singapura, para movimentar os valores roubados.

O grupo usou e-mails para convencer funcionários de uma empresa norte-americana de transferência de dinheiro, cujo nome não foi divulgado, a enviar US$ 2,89 milhões para uma das contas corporativas fraudulentas. No entanto, a tentativa de saque chamou a atenção do DBS. Funcionários do banco acionaram a polícia, e o Comando Anti-Golpes de Singapura entrou em contato com a Interpol, que alertou a empresa norte-americana de que ela havia sido vítima de fraude.

A polícia não divulgou toda a cadeia do ataque, mas o incidente provavelmente envolveu o comprometimento de contas de e-mail corporativas pertencentes a executivos, funcionários ou fornecedores de confiança.

Os adolescentes foram presos. Se condenados, podem pegar até 10 anos de prisão, pagar multa de US$ 500 mil (~R$ 2,55 milhões) , ou ambos. Golpistas online, integrantes de quadrilhas de fraude e recrutadores também podem estar sujeitos a punição corporal obrigatória, com penas que variam de pelo menos seis até 24 golpes de vara.

Um token comprometido, um grande estrago

O que aconteceu: Hackers invadiram a infraestrutura do GitHub da Grafana Labs e roubaram repositórios de código-fonte.

Como aconteceu: Os atacantes usaram um token de acesso comprometido do ambiente GitHub da Grafana Labs para copiar o conteúdo de repositórios de código. A Grafana Labs identificou a origem do vazamento de credenciais que levou ao comprometimento do token. A empresa revogou imediatamente os tokens afetados e implementou medidas adicionais de segurança em seu ambiente de TI.

O grupo CoinbaseCartel reivindicou a autoria do ataque. Após a invasão, os agentes maliciosos tentaram extorquir a Grafana Labs, exigindo pagamento para não divulgar os dados roubados. A empresa se recusou a pagar o resgate.

Uma investigação inicial não encontrou evidências de que dados de clientes tivessem sido afetados. A Grafana Labs não revelou quais repositórios foram roubados. No entanto, segundo o The Register, os atacantes podem ter tido acesso a código proprietário. A investigação da empresa ainda está em andamento.

Golpe romântico, prejuízo corporativo

O que aconteceu: Um homem de Nova York ajudou golpistas de “romance scam” a fraudar uma empresa em US$ 212 mil (~R$ 1,8 milhões).

Como aconteceu: Um funcionário da High Point Cattle Company recebeu um e-mail que parecia ter sido enviado pela contratada Lewiston Sales, informando novos dados bancários. O funcionário não percebeu a fraude e realizou duas transferências bancárias, no valor total de US$ 212.685,75. Alguns dias depois, porém, a verdadeira Lewiston Sales entrou em contato com a empresa para informar que nunca havia recebido o dinheiro. Ficou claro, então, que a contratada não havia alterado seus dados bancários nem enviado aqueles e-mails.

A High Point Cattle Company denunciou a fraude à polícia. A investigação mostrou que o endereço de e-mail do remetente era quase idêntico ao endereço real de um funcionário da Lewiston. A única diferença era que a letra “m” no endereço legítimo havia sido substituída pelas letras “r” e “n” no endereço fraudulento. Colocadas lado a lado, “r” e “n” pareciam formar um “m”, o que fez com que o funcionário não percebesse o golpe.

A polícia descobriu que o dinheiro da empresa havia sido direcionado para várias contas pertencentes a Michael McPherson, um homem de Nova York. Ao ser contatado pelos investigadores, ele admitiu que as contas bancárias eram suas. Segundo McPherson, ele as havia aberto para ajudar uma mulher que conheceu em um site de relacionamento a transferir uma grande herança.

McPherson disse à polícia que, a pedido da mulher, abriu contas pessoais no Bank of America, Chase, Discover, Cross River Bank e US Bank para que ela pudesse enviar dinheiro a essas contas. Ele também afirmou que ela o ajudou a criar uma empresa falsa chamada MCP Energy LLC. Sempre que valores eram depositados em suas contas, a mulher o orientava a transferir o dinheiro para outros destinos ou sacá-lo em caixas eletrônicos.

McPherson nunca conheceu pessoalmente sua paixão virtual, mas o relacionamento romântico rapidamente se transformou em um acordo financeiro. Em troca de abrir contas e seguir as instruções da mulher, ele recebeu um carro usado, teve dívidas de cartão de crédito quitadas, comprou roupas novas e adquiriu novos óculos.

Ele admitiu à polícia que o comportamento da mulher parecia suspeito, mas afirmou que, quando a situação foi longe demais, já não conseguiu cortar contato. Àquela altura, ele entendeu que havia se tornado cúmplice do esquema e não sabia como escapar de uma punição.

A primeira audiência de McPherson está marcada para 8 de julho. Ainda não está claro se os investigadores identificaram a misteriosa mulher conhecida online – ou se ela de fato existiu. Até o momento, nenhuma mulher foi acusada em conexão com o caso de fraude envolvendo a High Point Cattle Company.

Hackers sabiam mais do que deveriam

O que aconteceu: A rede varejista 7-Eleven sofreu um vazamento de dados após um ataque cibernético.

Como aconteceu: A grande rede de lojas de conveniência confirmou que, durante a primavera, um grupo hacker obteve acesso a dados confidenciais da empresa. A violação ocorreu após o comprometimento de um sistema de TI usado pela companhia para armazenar documentos de franqueados.

A 7-Eleven detectou atividade suspeita em sua infraestrutura no dia 9 de abril e tomou medidas imediatas para conter o incidente. A empresa também pediu desculpas antecipadamente a clientes e parceiros por qualquer inconveniente que o caso pudesse causar.

A 7-Eleven não divulgou detalhes da investigação nem o número de pessoas afetadas pelo vazamento. No entanto, o grupo hacker ShinyHunters, que reivindicou a autoria do incidente, afirmou ter invadido o ambiente Salesforce da empresa e roubado mais de 600 mil registros com dados pessoais e informações corporativas relacionadas à 7-Eleven.

Menos de uma semana após anunciar a invasão, o ShinyHunters publicou na dark web um arquivo de 9,4 GB contendo documentos. A 7-Eleven havia se recusado anteriormente a pagar resgate pelos dados.

Contabilidade criativa no marketing

O que aconteceu: Um funcionário de marketing da Hot Gold Fish Corporation, empresa sediada em Hollywood, fraudou seu empregador em US$ 63 mil (~R$ 321 mil).

Como aconteceu: George Louis Leyva entrou para o departamento de marketing da Hot Gold Fish Corporation, uma empresa que cria retratos em estilo pop art. Pouco depois de ser contratado, ele selecionou várias agências de marketing como prestadoras de serviço para projetos da companhia e assinou contratos com elas no valor de dezenas de milhares de dólares.

Mais tarde, a empresa descobriu que todas as agências de marketing escolhidas por Leyva pertenciam, na verdade, ao próprio funcionário. Na prática, ele havia usado o dinheiro da Hot Gold Fish Corporation para pagar a si mesmo. Ao todo, a empresa afirma ter sido fraudada em US$ 63 mil e comunicou o caso à polícia.

Segundo a Hot Gold Fish Corporation, Leyva recomendou as agências alegando que já havia trabalhado com elas anteriormente, enquanto ocultava o fato de ser o proprietário. Representantes da empresa também afirmaram que, durante uma investigação interna, descobriram que o ex-funcionário tentou falsificar propriedade intelectual da companhia. Leyva teria criado cópias de imagens pertencentes à Hot Gold Fish e até lançado um site semelhante à página oficial da empresa.

Quando o esquema veio à tona e ele foi demitido, Leyva apagou o site falso. Isso – junto com a investigação policial – pode ter evitado que seu próximo possível empregador contratasse um “prestador de serviço” que, na prática, era uma cópia fraudulenta da própria Hot Gold Fish.