América do Norte
Banco FinWise
Nem todo ataque vem de fora. Somando-se ao aumento das ameaças internas nos últimos meses, a empresa de fintech dos EUA FinWise Bank alertou que os dados de seus clientes podem ter sido expostos após um ataque interno malicioso.
O FinWise Bank, que presta serviços bancários e soluções tecnológicas a instituições financeiras, revelou que um ex-funcionário pode ter acessado ou obtido dados de seus clientes após deixar a empresa. A empresa sediada em Utah confirmou que os dados pessoais de 689.000 clientes, incluindo informações como nomes completos e outros elementos de dados não divulgados, podem ter sido comprometidos. Alguns dos registros expostos pertenciam à American First Finance (AFF), uma instituição financeira que atende clientes com crédito ruim e que tem parceria com o FinWise para oferecer empréstimos parcelados.
De acordo com um registro no Gabinete do Procurador Geral do Maine, o incidente ocorreu em 31 de maio de 2024, mas só foi detectado em 18 de junho deste ano. Em resposta, a FinWise está oferecendo a todos os clientes afetados 12 meses de monitoramento de crédito gratuito e proteção contra roubo de identidade.
Este é o mais recente de uma série crescente de ataques maliciosos perpetrados por funcionários internos com graves consequências. No início de maio, a Coinbase Global, Inc., uma corretora americana de criptomoedas, também sofreu um incidente semelhante quando um funcionário do suporte técnico no exterior aceitou um suborno e roubou dados pertencentes a quase 70 mil clientes.
FonteComo isso pode afetar sua empresa
As ameaças internas podem ser tão prejudiciais quanto os ataques externos. A aplicação de controles rigorosos de privilégios e a criação de defesas em camadas com medidas como a autenticação multifatorial (MFA) são essenciais para evitar o acesso não autorizado e reduzir o risco interno.
América do Norte
Departamento do Tesouro de Michigan
O Departamento do Tesouro de Michigan pediu aos residentes que ignorem mensagens de texto não solicitadas de criminosos cibernéticos que se fazem passar pela agência e exigem informações bancárias pessoais.
Em 15 de setembro de 2025, o departamento confirmou uma ampla campanha de smishing circulando pelo estado. Os textos fraudulentos, que parecem vir da agência, alegam que uma restituição foi processada e exigem que os contribuintes enviem detalhes de pagamento precisos ou correrão o risco de perder a restituição. As autoridades enfatizaram que o Tesouro só se comunica com os contribuintes por meio de cartas oficiais enviadas pelo U.S. Postal Service e aconselharam os residentes a excluir imediatamente qualquer texto desse tipo.
Esse não é o primeiro caso de smishing direcionado a órgãos estaduais de Michigan. Em abril, o Departamento de Transportes emitiu um aviso sobre textos fraudulentos que se faziam passar por E-ZPass e outros sistemas de pedágio, exigindo taxas e solicitando detalhes de cartão de crédito.
FonteComo isso pode afetar sua empresa
O smishing tornou-se uma tática de phishing muito comum, e as empresas são um alvo cada vez mais frequente. Os invasores podem se passar por representantes do suporte técnico e induzir os usuários finais a conceder acesso, alegando que há um problema com o dispositivo ou a conta deles. Conscientizar os usuários é fundamental para prevenir esses golpes.
América do Norte
Violação de fornecedor da Stellantis (controladora da Jeep/Chrysler)
A Stellantis divulgou em 21 de setembro de 2025 que um provedor terceirizado responsável por apoiar suas operações de atendimento ao cliente na América do Norte sofreu um acesso não autorizado. As conclusões preliminares indicam a exposição de informações básicas de contato dos clientes (por exemplo, nomes, endereços de e-mail, números de telefone); a Stellantis afirma que nenhum dado financeiro, número de identificação governamental ou outros dados pessoais altamente confidenciais parecem ter sido comprometidos. A empresa ativou procedimentos de resposta a incidentes, notificou os clientes afetados e os órgãos reguladores e alertou os clientes para que fiquem atentos a tentativas subsequentes de phishing ou engenharia social. A investigação e as medidas corretivas do fornecedor estão em andamento.
FonteComo isso pode afetar sua empresa
Mesmo uma exposição limitada de dados pode dar origem a ataques de phishing e de suplantação de identidade. As empresas de transporte e seus parceiros MSP devem reforçar a supervisão dos fornecedores e lembrar os clientes de ficarem atentos a e-mails ou ligações suspeitas.
América do Norte
Tiffany & Co.
A joalheria de luxo americana Tiffany & Co. notificou mais de 2.500 clientes nos Estados Unidos e no Canadá que hackers roubaram suas informações pessoais.
De acordo com o comunicado da empresa, um agente mal-intencionado obteve acesso não autorizado aos sistemas da Tiffany por volta do dia 12 de maio de 2025. A investigação revelou que o invasor obteve dados relacionados aos cartões-presente da Tiffany, incluindo nomes, endereços de e-mail, endereços postais, números de telefone, detalhes de vendas, números de cartões-presente e PINs.
A Tiffany faz parte da gigante francesa do luxo LVMH, que também é proprietária de marcas como Louis Vuitton, Dior e Givenchy. Várias marcas da LVMH, incluindo Louis Vuitton, Dior e Tiffany, foram recentemente envolvidas em uma campanha de invasão da Salesforce. Ainda não está claro se a violação divulgada esta semana está vinculada a essa campanha ou se representa uma invasão separada.
FonteComo isso pode afetar sua empresa
Os criminosos cibernéticos estão cada vez mais visando as marcas de varejo para obter dados relacionados aos clientes. As empresas devem reconhecer os riscos de lidar com informações confidenciais dos clientes e implementar defesas em camadas para evitar violações dispendiosas.
América do Norte
Cidade de Bluffton, Carolina do Sul
A cidade de Bluffton alertou os residentes e as empresas em suas listas de correspondência sobre um ataque de phishing que ocorreu na sexta-feira, 12 de setembro.
Muitos destinatários relataram ter recebido um e-mail malicioso com o assunto “Cidade de Bluffton”. O e-mail incluía um anexo e orientava os usuários a inserir um código de acesso em uma página falsa de login do Microsoft Outlook. As autoridades esclareceram que a prefeitura nunca envia e-mails solicitando códigos de acesso.
Felizmente, a equipe de TI da cidade agiu rapidamente para conter o ataque. Embora o e-mail tenha sido enviado de um endereço falso da cidade, o departamento de TI conseguiu recuperar a mensagem e minimizar o impacto.
FonteComo isso pode afetar sua empresa
Os ataques de phishing continuam aumentando, com os cibercriminosos utilizando e-mails falsos bem elaborados para induzir os usuários a revelar suas credenciais ou baixar malware. As empresas devem reforçar a segurança do e-mail e treinar os funcionários para identificar e denunciar mensagens suspeitas antes que ocorram danos.
América do Norte
Pollard & Associates, Inc.
A Pollard & Associates, Inc., uma empresa de administração terceirizada especializada em planos de aposentadoria independentes, confirmou uma violação de dados que afetou milhares de pessoas.
A empresa informou que atividades suspeitas foram detectadas em sua rede por volta de 15 de maio de 2025. Uma investigação posterior revelou que um agente não autorizado copiou arquivos por volta de 8 de abril de 2025. Uma análise posterior determinou, em 15 de julho, que a violação comprometeu informações pessoais e financeiras confidenciais pertencentes a pelo menos 17.907 pessoas. Os dados expostos incluíram nomes, números de Seguro Social e informações de contas financeiras.
Em 16 de setembro, a empresa começou a enviar notificações aos indivíduos afetados. A violação também foi relatada aos procuradores-gerais de Maine, Montana, Massachusetts e Vermont.
FonteComo isso pode afetar sua empresa
O manuseio de dados financeiros e pessoais torna as empresas os principais alvos dos criminosos cibernéticos. Incidentes como esse destacam a importância de práticas sólidas de proteção de dados, monitoramento contínuo e resposta rápida a incidentes para minimizar o impacto.
