Edição Especial do "Week in Breach": O que os principais incidentes cibernéticos de 2025 nos ensinaram

América do Norte

Ecossistema da Salesforce

Em uma das ameaças cibernéticas mais significativas de 2025, o ecossistema da Salesforce foi alvo de uma violação generalizada de dados de terceiros, causando um impacto em setores de todo o mundo. A violação expôs mais de 1 bilhão de registros em dezenas de empresas globais. A campanha se desenrolou em várias etapas, visando deliberadamente os pontos mais vulneráveis do ecossistema: os usuários humanos e as integrações de terceiros.

É importante ressaltar que não se tratou de uma violação direta da infraestrutura central da Salesforce. Em vez disso, os cibercriminosos se aproveitaram de erros humanos e do acesso de terceiros de confiança para comprometer instâncias individuais da Salesforce pertencentes a clientes. O ataque seguiu um padrão claro e repetitivo:

• Primeiro, os invasores utilizaram engenharia social e phishing por voz (vishing) para se fazerem passar por funcionários da equipe de TI e induzir os funcionários a concederem acesso.
• Em seguida, as vítimas foram induzidas a autorizar aplicativos conectados maliciosos — como versões falsas do Salesforce Data Loader — ou a expor tokens OAuth vinculados a ferramentas legítimas, como Salesloft, Drift e Gainsight. Esses tokens proporcionaram aos invasores acesso persistente à interface de programação de aplicativos (API) e, muitas vezes, contornaram a autenticação multifatorial (MFA).
• Por fim, os invasores utilizaram as APIs do Salesforce para exportar grandes volumes de dados, em busca de credenciais, registros de contas e informações pessoais confidenciais.

O impacto do ataque foi amplo. Entre as organizações afetadas estavam companhias aéreas como Air France–KLM, Qantas e Vietnam Airlines, marcas de varejo como IKEA, Adidas e Chanel, além de outras grandes empresas, incluindo Google, TransUnion, Toyota e Disney.

A violação foi reivindicada por um grupo de hackers conhecido como Scattered LAPSUS$ Hunters, que lançou um site na dark web para publicar amostras dos dados roubados. O grupo ameaçou a Salesforce e seus clientes com novas divulgações de dados, a menos que fossem pagos resgates. A Salesforce recusou-se publicamente a atender a quaisquer exigências de resgate, traçando uma linha clara contra a extorsão.

Reino Unido

Jaguar Land Rover (JLR)

No final de agosto de 2025, a montadora britânica Jaguar Land Rover (JLR) foi alvo de um ataque cibernético que se tornou o incidente cibernético com maiores prejuízos econômicos da história do Reino Unido. O ataque obrigou a empresa a desativar os sistemas em todas as suas operações de fabricação globais e resultou em perdas estimadas em 1,9 bilhão de libras.

O incidente teve início em 31 de agosto como uma violação digital e rapidamente se transformou em uma grave crise operacional. Embora a JLR tenha agido rapidamente para conter a ameaça, suspendendo os sistemas, a produção em todas as suas fábricas ficou paralisada por quase cinco semanas. A interrupção se espalhou muito além da própria JLR. Mais de 5.000 parceiros da cadeia de suprimentos foram afetados, muitos enfrentando atrasos nos pagamentos e sérios contratempos operacionais. Alguns fornecedores enfrentam agora até seis meses de dificuldades de crédito, ilustrando como um único ataque cibernético pode causar um efeito cascata em todo um ecossistema industrial.

O ataque foi associado ao Scattered LAPSUS$ Hunters, o mesmo grupo ligado à violação do ecossistema da Salesforce e a vários outros incidentes cibernéticos de grande repercussão em 2025.

Estados Unidos

Universidades dos EUA

Os ataques cibernéticos contra instituições de ensino dos Estados Unidos se intensificaram em 2025, afetando várias universidades de renome, incluindo instituições da Ivy League, como a Universidade da Pensilvânia e a Universidade de Princeton. Esses incidentes expuseram milhões de registros contendo informações pessoais relacionadas a alunos, ex-alunos, funcionários e membros da comunidade.

Na Universidade da Pensilvânia, o ataque veio à tona em 31 de outubro, quando membros da comunidade universitária receberam e-mails que pareciam ter sido enviados pela Escola de Pós-Graduação em Educação. Posteriormente, a universidade confirmou que sistemas ligados a atividades de desenvolvimento e de ex-alunos haviam sido comprometidos. Semanas depois, a Universidade de Princeton divulgou uma violação separada que afetou o banco de dados de seu escritório de desenvolvimento. Enquanto o incidente na Universidade da Pensilvânia envolveu informações de identificação pessoal (PII) e alguns dados bancários, Princeton afirmou que sua violação se limitou a nomes, informações de contato, endereços e históricos de doações.

Os ataques cibernéticos contra instituições de ensino estão aumentando rapidamente, em grande parte porque as universidades armazenam grandes quantidades de dados pessoais e financeiros confidenciais. Além de invasões generalizadas à rede, os invasores também estão realizando campanhas direcionadas contra funcionários das universidades. Em um desses casos, a Microsoft descobriu uma campanha de “pirataria de folha de pagamento”, na qual os agentes maliciosos invadiram plataformas de RH, como o Workday, para desviar os salários dos funcionários.

Austrália

Western Sydney University

As universidades americanas não são as únicas a sofrer ataques; instituições de ensino em todo o mundo estão se tornando alvos atraentes para os cibercriminosos. Em 2025, a Western Sydney University sofreu uma série de incidentes cibernéticos, o que a tornou uma das violações mais graves no setor educacional registradas no ano passado.

A universidade identificou dois casos de atividade incomum em 6 e 11 de agosto, ambos envolvendo um sistema de gestão de alunos hospedado por um provedor de nuvem terceirizado. Embora o acesso à plataforma tenha sido bloqueado após a detecção da atividade suspeita, uma investigação mais aprofundada revelou que o invasor havia explorado uma cadeia de fornecedores interligados. O acesso não autorizado por meio desses sistemas de terceiros e quartos permitiu que o invasor obtivesse acesso ao sistema de gestão de alunos da universidade e extraísse dados.

O hacker roubou informações altamente confidenciais dos alunos, incluindo números de identificação fiscal, dados de passaporte e informações privadas sobre saúde e deficiência. Em dezembro, as autoridades confirmaram que um ex-aluno da Western Sydney University foi indiciado em conexão com os ataques.

América do Norte

Red Hat

Em 2 de outubro, a Red Hat, uma das principais fornecedoras de software de código aberto para empresas, confirmou um ataque cibernético que envolveu sua instância do GitLab destinada a serviços de consultoria. Com uma base de clientes que inclui órgãos governamentais, operadores de infraestruturas críticas e grandes corporações, o incidente teria afetado dados relacionados a mais de 800 organizações.

Um dia antes, um grupo de cibercriminosos que se autodenomina Crimson Collective divulgou publicamente a violação. O grupo alegou ter extraído 570 GB de dados compactados de mais de 28.000 repositórios, incluindo relatórios confidenciais de interação com clientes (CERs). Posteriormente, a Red Hat confirmou ter detectado acesso não autorizado a uma instância autohospedada do GitLab utilizada para colaboração interna da Red Hat Consulting em projetos selecionados com clientes.

De acordo com a Red Hat, o ambiente comprometido continha especificações de projetos, trechos de código de exemplo, comunicações internas de consultoria e informações limitadas de contato comercial. A empresa ressaltou que o incidente se limitou a esse ambiente de consultoria do GitLab e não afetou os principais produtos nem os sistemas de produção da Red Hat.

No entanto, vários relatos sugerem que os dados roubados incluíam cerca de 3,5 milhões de arquivos, além de relatórios confidenciais relacionados às redes de computadores de organizações dos setores bancário, de telecomunicações e governamental.