Wynn Resorts confirmou esta semana que informações de seus funcionários foram sutraídas após aparecer no portal de vazamentos e extorsão associado ao grupo conhecido como ShinyHunters. A empresa diz que, uma vez detectado o acesso não autorizado, activou seus procedimentos de resposta a incidentes e pediu ajuda de especialistas externos para investigar o que aconteceu e mitigar os danos.
A empresa assegurou que um terceiro não autorizado obteve dados de funcionários e que, segundo os atacantes, essa informação teria sido eliminada, mas não ofereceu detalhes sobre se chegou a um acordo econômico para evitar a publicação dos arquivos. Na prática, as bandas de extorsão costumam anunciar a eliminação de dados apenas após negociações com a vítima, pelo que essa declaração não faz desaparecer a incerteza sobre o ocorrido ou o risco de filtração futura. Wynn acrescentou que, até agora, não detectaram provas de que a informação tenha sido publicada ou usada indevidamente, e que as operações em seus hotéis e cassinos não foram afetadas; além disso, oferece aos funcionários serviços gratuitos de vigilância de crédito e proteção de identidade.
O incidente foi conhecido após a aparição de um anúncio no site de ShinyHunters em que o grupo afirmou ter obtido mais de 800.000 registros com informações pessoais identificáveis, incluindo, segundo sua reivindicação, números de segurança social, e emplazou a empresa a entrar em contato antes de uma data-limite. A entrada na plataforma foi retirada logo depois, um movimento habitual que muitas vezes indica que, ou começaram negociações ou que a veracidade da reivindicação está sendo questionada.
Não há confirmação pública sobre o número de afetados nem sobre se foi pago um resgate. Por sua vez, ShinyHunters também não respondeu oficialmente sobre se recebeu algum pagamento. Nas suas comunicações anteriores, o grupo salientou que obteve dados desde ambientes da PeopleSoft Oracle, uma plataforma de recursos humanos e gestão muito estendida em grandes empresas; se essa via for confirmada, faria pensar na exploração de vulnerabilidades ou credenciais para acessar sistemas internos.
ShinyHunters é um ator que se tornou conhecido por atividades de extorsão e a publicação de dados roubados. Nos últimos meses, tem reivindicado múltiplas invasões contra empresas de diferentes dimensões e setores. Suas campanhas incluem ataques massivos a dados da Salesforce e uma onda de compromissos que afetaram serviços e marcas com grande visibilidade pública. Em vários casos, os incidentes relacionam-se com técnicas de engenharia social muito direcionadas: chamadas de suplantação a suporte técnico (vishing) para roubar códigos de autenticação, phishing orientado a single sign-on (SSO) e abuso de tokens OAuth para se mover dentro de ambientes SaaS interligados e extrair informações de plataformas como Microsoft 365, Google Workspace, Salesforce e outras.
O padrão que se repete é claro: há um interesse por violar SSO e ferramentas na nuvem, porque uma vez que os atacantes conseguem acesso a uma conta com privilégios ligados a múltiplas aplicações, podem mover grandes volumes de dados sem necessidade de comprometer diretamente cada serviço. Pesquisas anteriores e relatórios de segurança apontaram como os operadores combinam phishing telefônico, páginas de captura de credenciais e técnicas de tipo “device code” para obter tokens válidos que saltam proteções tradicionais de MFA.
Para as empresas, este episódio torna o foco numa dupla exigência: melhorar tanto a prevenção técnica como a preparação organizacional. No técnico, reforçar as políticas de acesso –revisando permissões, aplicando MFA resistente ao phishing, monitorando fluxos de tokens e segmentando ambientes críticos – reduz a superfície de ataque. Em termos de organização, dispor de um plano de resposta comprovado, canais seguros para comunicar incidentes e acordos com especialistas externos facilita a contenção e a recuperação. As agências de segurança também recomendam não negociar precipitadamente e documentar qualquer interação com extorsionadores; o guia de CISA sobre como lidar com incidentes de ransomware e extorsão recolhe medidas práticas e recursos para as organizações afetadas ( https://www.cisa.gov/stopransomware).
Para os empregados e excolaboradores potencialmente expostos, é importante monitorar movimentos incomuns em contas financeiras, alertar de tentativas de fraude e aproveitar as protecções oferecidas pelo empregador. Alterar credenciais, ativar métodos de autenticação mais robustos e educar-se para reconhecer chamadas ou mensagens de engenharia social são medidas que ajudam a reduzir o risco de dados pessoais serem usados em fraudes posteriores. No plano jurídico e reputacional, as empresas devem comunicar com clareza o alcance do fosso e das acções tomadas: a transparência reduz a incerteza entre afectados e reguladores.
Os incidentes como o de Wynn evidenciam uma tendência mais ampla: as bandas de extorsão têm profissionalizado suas operações e sabem aproveitar tanto falhas técnicas como erros humanos. Seguir a evolução destes grupos e aprender de cada acontecimento é fundamental para endurecer defesas. Para entender melhor como funcionam ShinyHunters e grupos semelhantes, e para seguir a cobertura técnica do evento, podem ser consultados relatórios e análises jornalísticas especializadas como o publicado pela BleepingComputer ( https://www.bleepingcomputer.com/) e os recursos de cibersegurança das autoridades públicas citadas anteriormente.
Em suma, a confissão de Wynn sobre a perda de dados de funcionários lembra que nenhuma organização é imune e que a resiliência contra ataques de extorsão exige medidas contínuas: desde controles de acesso e supervisão de identidade até políticas claras para responder e comunicar quando a segurança falha. A conversa entre empresas, especialistas e reguladores deve ser intensificada para limitar os danos quando a ameaça se materializa e para dificultar que grupos como ShinyHunters obtenham benefícios de suas campanhas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...