Uma filtragem massiva expôs os dados pessoais de quase um milhão de usuários após um ataque dirigido aos sistemas de Figure Technology Solutions, uma empresa fintech que opera sobre blockchain e que é descrita como nativa dessa tecnologia. Embora a empresa não tenha publicado inicialmente um comunicado extenso, fontes jornalísticas e serviços de notificação de fugas de dados foram reconstruindo o alcance do incidente.
Figure, fundada em 2018 e conhecida por utilizar a blockchain Provenance em produtos de empréstimo, investimentos e titularização, trabalhou com mais de 250 parceiros – entre bancos, cooperativas de crédito e outras fintechs – e afirma ter facilitado mais de 22.000 milhões de dólares em liquidez sobre o valor de habitação. Saiba mais sobre a empresa no seu site oficial figura.com e sobre a tecnologia de livro maior que empregam provenance.io.
Segundo meios que contataram a empresa, Figure atribuiu o sucedido a um ataque de engenharia social em que um empregado foi enganado para fornecer acesso. O portal TechCrunch informou sobre a confirmação inicial da empresa, e o serviço de notificações sobre vazamentos Have I Been Pwned publicou dados concretos que ajudam a dimensionar o incidente: 967.200 contas afetadas, com endereços de e-mail únicos, nomes, números de telefone, endereços físicos e datas de nascimento, correspondentes a informações que data de janeiro de 2026. Você pode revisar o registro do fosso em Have I Been Pwned em Haveibeenpwned.com/Breach/Figure.
O grupo conhecido como ShinyHunters se adjudicou a ação e publicou em seu site na rede escura o que diz ser um volcado de 2,5 GB proveniente de milhares de requerentes de empréstimos. Grupos como este costumam explorar as informações roubadas para extorsão, venda de arquivos ou campanhas de suplantação mais direcionadas. Vários meios têm relatado e rastreado sua atividade nos últimos meses; entre as empresas que, segundo queixas do grupo, foram afetadas, encontram-se marcas de alto perfil em diferentes setores.
Este caso se encaixa numa tendência preocupante que viu como atacantes combinam chamadas telefónicas de engenharia social - a chamada modalidade “vishing” - com páginas de suplantação que imitam portais de acesso corporativos para capturar credenciais e códigos de autenticação multifator. Uma análise recente sobre esta técnica mostra ataques contra contas de login único (SSO) em fornecedores como Okta, Microsoft e Google, usados como alavanca para entrar depois em outras aplicações empresariais conectadas. Uma boa análise dessa campanha e suas características técnicas encontra-se no relatório. SilentPush, que documenta como se suplantou a suporte técnico para persuadir funcionários de entregar credenciais e códigos MFA.
Uma vez os atacantes tomam controle de um SSO, eles podem mover-se lateralmente para acessar serviços críticos de uma empresa: correio corporativo, sistemas de vendas, repositórios de documentos, plataformas de atendimento ao cliente e outros. Esse tipo de acesso facilita desde fraudes financeiras até roubo de propriedade intelectual e campanhas de suplantação que aproveitam a confiança entre funcionários e clientes.
O que podem fazer as pessoas afetadas e as empresas agora mesmo? Em primeiro lugar, qualquer usuário que acredita que pode ser afetado deve verificar se o seu endereço de e-mail apareceu na filtragem através de serviços como Have I Been Pwned e seguir as recomendações que lá são indicadas. Recomenda-se a mudança de palavras-passe nos serviços em que se reutilize a mesma credencial, privilegiar palavras-passe longas e únicas e ativar métodos de autenticação mais resistentes ao phishing: as chaves de segurança baseadas em FIDO (hardware) são a opção mais robusta contra o roubo de códigos por engenharia social - você pode se informar sobre esta tecnologia na página da página FIDO Alliance.
Também é conveniente rever movimentos invulgares em contas bancárias e cartões, preparar alertas com as instituições financeiras e considerar o congelamento do relatório de crédito se estiver nos EUA. EUA; para vítimas de roubo de identidade, o portal oficial do governo americano oferece passos concretos em identitytheft.gov. A nível de bom uso geral, a Agência de Segurança Cibernética e Infra-estruturas dos EUA (CISA) mantém recomendações práticas para se proteger contra o phishing e as variantes de engenharia social em seu guia sobre phishing.
Para as organizações, a lição vai além do adesivo imediato: é fundamental reforçar os controlos de acesso, implementar políticas de autenticação adaptativa e limitar privilégios com o princípio de menor privilégio. Monitorizar e responder a sessões anormais do SSO, segmentar o acesso a dados sensíveis e manter programas contínuos de sensibilização para funcionários que incluam simulações realistas de phishing e vishing são medidas que reduzem o impacto deste tipo de ataques. As cópias de segurança, os planos de resposta a incidentes e a rastreabilidade de acessos também são fundamentais para conter e recuperar de invasões.
O episódio de Figure soma-se a uma onda de intrusões em grandes e pequenas empresas em que a combinação de engenharia social e acesso à SSO se mostrou especialmente eficaz para os atacantes. Enquanto as investigações continuam e os responsáveis respondem às exigências legais e regulamentares de notificação, o que podem fazer tanto usuários como empresas é agir rapidamente para limitar danos e, sobretudo, mudar a estratégia de defesa para mecanismos menos vulneráveis à suplantação de identidade.
Se você quiser seguir fontes atualizadas sobre este caso, o relatório inicial e declarações da empresa estão disponíveis em TechCrunch, a desagregação técnica e a acusação do grupo extorsionador aparecem em registros públicos e fóruns de segurança, e o resumo das contas afetadas o oferece Have I Been Pwned. Manter-se informado e tomar medidas preventivas ainda é, hoje, a melhor defesa.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
YellowKey A falha do BitLocker que poderia permitir a um atacante desbloquear sua unidade com apenas acesso físico
A Microsoft publicou uma mitigação para uma vulnerabilidade de omissão de segurança de BitLocker conhecida como YellowKey (CVE-2026-45585), depois de seu teste de conceito ser d...