Os incidentes de cibersegurança mais relevantes que envolveram terceiros em 2025
Já podemos dizer que 2025 está no retrovisor e, como nosso foco aqui é a cibersegurança da cadeia de fornecedores e dos terceiros, é hora de refletir sobre os acontecimentos do ano e relembrar dos incidentes e violações de dados mais relevantes envolvendo terceiros.
Vale lembrar que fizemos uma lista para 2024. Comparando as duas, é fácil enxergar por que tantos profissionais de segurança estão preocupados com a gestão de risco de terceiros.
Então, sem mais delongas, aqui está nossa lista para 2025:
ByBit: o roubo de US$1,5 bilhão
Em fevereiro, hackers norte-coreanos associados ao Lazarus Group conseguiram roubar um volume de criptomoedas Ethereum avaliado em US$1.5 bilhão da corretora ByBit.
Só que os hackers não estavam dentro dos sistemas da ByBit. Em vez disso, eles se infiltraram na Safe{Wallet}, uma plataforma terceirizada utilizada pela ByBit para gerenciar ativos. No início do mês de fevereiro, um engenheiro de software da Safe{Wallet} havia caído em um ataque de engenharia social, concedendo aos hackers acesso ao ambiente AWS da empresa.
Uma vez dentro do ambiente AWS, os hackers fizeram uma modificação em alguns códigos para redirecionar fundos para suas carteiras. Embora tenham limitado esse redirecionamento às carteiras da ByBit e potencialmente reduzido o escopo da ação, os ladrões ainda acabam por realizar o maior roubo digital da história.
Vale apontar que a dificuldade de recuperar fundos em um ecossistema que não foi feito para reverter transações é um chamariz para os criminosos e, portanto, as criptomoedas e sua infraestrutura são alvos frequentes de ataques cibernéticos.
Em abril, o pacote oficial do npm para criptomoeda XRP (Ripple) foi infectado por um backdoor programado para roubar chaves privadas e carteiras, representando um dos incidentes mais significativos na supply chain de software (ainda que não o único) em 2025. Em maio, a corretora Coinbase anunciou que não pagaria criminosos que roubaram dados de clientes e pretendiam extorquir a empresa.
Integrações da Salesforce
Centenas de empresas tiveram seus dados violados depois que hackers invadiram a Salesloft, em agosto, e a Gainsight, em novembro. Ambas desenvolvem aplicações projetadas para serem integradas a instâncias Salesforce e foram supostamente atacadas pelo ShinyHunters, que usou o acesso concedido às aplicações para ampliar o escopo da violação aos dados do ambiente Salesforce dos clientes dessas empresas.
As instâncias de Salesforce também foram atacadas diretamente por meio de golpes de phishing que terminavam com funcionários autorizando aplicações externas controladas pelos atacantes. Essa autorização permitia que os invasores roubassem os dados do ambiente Salesforce.
Embora esses ataques diretos não possam ser atribuídos um ataque direto contra a infraestrutura da Salesforce, empresas devem ficar atentas a campanhas ativas contra plataformas de SaaS que elas usam e ao risco de concentração que facilita essas ações maliciosas.
Incidentes graves na nuvem: Oracle, AWS, Azure e Cloudflare
Os chamados "hyperscalers" e provedores de infraestrutura estiveram no centro de alguns incidentes notáveis em 2025.
Os primeiros deles envolveram a Oracle. A subsidiária Oracle Health notificou seus clientes que descobriu uma violação de seus sistemas em fevereiro, mas alguns relatos sugeriram que o incidente teria começado em 2024. Alguns dos pacientes cujos dados foram roubados ainda estão sendo notificados pelos prestadores que usam a Oracle Health.
A infraestrutura legada da Oracle também foi comprometida, e a empresa acabou criando alguma confusão quando negou qualquer violação da Oracle Cloud. A falta de clareza dificultou a conversa sobre os acontecimentos, e até o boletim da CISA, a agência de cibersegurança dos Estados Unidos, teve que recorrer a um linguajar ambíguo, referenciando "relatos públicos sobre um possível acesso não autorizado a um ambiente de nuvem legado da Oracle".
Ao longo do ano, outros provedores sofreram incidentes que provocaram quedas e interrupções. Uma parte da Amazon Web Services caiu em outubro, criando problemas para softwares e dispositivos que dependiam dela por ao menos 15 horas. O Microsoft Azure passou por um evento similar poucos dias depois.
A Cloudflare também sofreu com duas quedas. A primeira queda, mais grave, ocorreu em novembro por causa de um bug em uma interação com o banco de dados. A segunda queda, em dezembro, se deu em decorrência das mitigações implementadas pela Cloudflare para evitar as explorações da vulnerabilidade "React2Shell".
Ataques que impactaram bancos no Brasil
Em três incidentes em julho e setembro, criminosos brasileiros conseguiram desviar mais de R$1 bilhão das contas de reserva mantidas por instituições financeiras no Banco Central para concluir transações do Pix. Nessa ação, os criminosos se infiltraram em prestadores terceirizados subornando funcionários e roubando credenciais de fornecedores deles.
Os incidentes são um tanto complexos, mas já temos um post dedicado ao tema se você tiver interesse em uma explicação mais detalhada sobre como os ataques aconteceram. Mais recentemente, em novembro, o grupo Dragonforce vazou um arquivo com 392 GB de arquivos ligados a uma das empresas envolvidas nos ataques, a qual informou que o pacote contém os mesmos dados acessados durante o incidente em junho.
PowerSchool: milhões de alunos expostos
Em janeiro, a fornecedora de software PowerSchool revelou que um atacante havia utilizado credenciais roubadas para acessar dados armazenados no PowerSource, seu portal de acesso de clientes. Como a PowerSchool atua como fornecedora para milhares de escolas nos Estados Unidos e no Canadá, isso se tornou um grande incidente no setor de educação básica.
O hacker depois afirmou que havia obtido dados de mais de 60 milhões de estudantes e 9 milhões de professores. Nem todos tiveram dados sensíveis expostos, mas números de seguro social (SSN, o "CPF" norte-americano), notas e até dados médicos estavam supostamente presentes no pacote de dados.
Em maio, o universitário Matthew Lane concordou com um acordo judicial para confessar que havia tentado extorquir duas empresas, sendo uma delas a PowerSchool. Também foi revelado que as credenciais usadas no ataque pertenciam a um terceiro, o que significa que a própria PowerSchool teria sido comprometida devido a um erro na gestão do risco de terceiros.
Tata Consultancy Services e Jaguar Land Rover
A Tata Consultancy Services começou a aparecer no noticiário depois que os varejistas britânicos Marks & Spencer (M&S) e Co-op foram hackeados em abril. O grau de envolvimento da empresa nesses dois incidentes ainda não está claro, já que os varejistas não apontaram nenhum fornecedor como culpado pelos incidentes.
Após a imprensa relatar que a M&S havia terminado um contrato de help desk com a TCS após o incidente, a TCS se manifestou desmentindo a informação, alegando que o processo de troca de fornecedor havia começado em janeiro e, portanto, não teve relação com o ataque. Além disso, a TCS informou que não prestava serviços de cibersegurança para a M&S e que os sistemas da TCS não foram comprometidos.
Infelizmente, isso não é suficiente, já que os ataques foram realizados por meio de engenharia social. Quando um colaborador em um prestador de serviços help desk – seja da TCS ou qualquer outro – é convencido a desativar a MFA ou redefinir uma senha, isso indica uma possível falha grave nesse prestador, mesmo sem haver uma violação direta dos seus sistemas.
Quatro prisões foram realizadas em decorrência desses incidentes.
A TCS chegou às manchetes novamente depois que a Jaguar Land Rover foi comprometida em agosto. A JLR pertence ao mesmo conglomerado que a TCS, o indiano Tata Group, então ao menos parte dos sistemas de TI da montadora estariam nas mãos da TCS. Com isso, a empresa ficou novamente associada a um incidente notável.
Há rumores de que a TCS estaria envolvida em outros incidentes. Mesmo que isso não seja verdade, a principal lição a ser tirada desses incidentes é a de que terceiros podem estar implicados em ciberataques mesmo sem uma violação direta da sua infraestrutura. Além disso, empresas podem ter dificuldades para investigar ou até para explicar incidentes em terceiros aos seus investidores, clientes e o público em geral.
A invasão da Collins Aerospace
Em setembro, um ciberataque provocou instabilidade em um software de gestão de embarques fornecido pela Collins Aerospace, o que resultou em voos cancelados e atrasos em aeroportos na Europa.
O incidente lembra um pouco o "blecaute" da CrowdStrike em 2024. Embora a causa e o impacto dos incidentes sejam bem diferentes, os dois eventos trouxeram consequências reais para companhias aéreas e passageiros.
Shai-Hulud, tj-actions: as ações na supply chain de software
O ecossistema de desenvolvimento de software tem sido pressionado por ataques cibernéticos. Em 2025, foram vários os casos de pacotes e bibliotecas maliciosas sendo distribuídas em repositórios como npm e PyPI. Alguns desses pacotes eram legítimos e foram adulterados após ataques de phishing e typosquatting bem-sucedidos contra os desenvolvedores responsáveis pela sua manutenção.
Os dois incidentes mais marcantes do ano foram possivelmente o worm Shai-Hulud e a adulteração do tj-actions.
O Shai-Hulud ressuscitou o conceito de worms, uma categoria de malware que não tem sido tão relevante como nos dias do Conficker e do WannaCry. Mirando no ecossistema de desenvolvimento de software, o Shai-Hulud conseguiu se replicar injetando seu código em outros pacotes aos quais suas vítimas tinham acesso. O payload malicioso era uma rotina de roubo de credenciais e tokens tipicamente usados no acesso de desenvolvedores, o que poderia ser usado em outros ataques a terceiros. Até o momento, já foram encontradas duas versões desse worm.
Já o tj-actions é uma GitHub Action que foi comprometida por hackers, dando a eles acesso a mais de 200 repositórios que haviam integrado o tj-actions em seus fluxos de automação. Assim como no caso do Shai-Hulud, as mudanças feitas ao tj-actions tinham o objetivo de roubar segredos dos repositórios atingidos.
SitusAMC: dados bancários sem invadir bancos
Vários bancos e seus clientes estão tendo de lidar com um vazamento revelado pela SitusAMC, uma empresa de tecnologia que atua no ramo imobiliário como prestadora de serviços a centenas de instituições financeiras.
Atacando um fornecedor, os hackers conseguiram roubar dados bancários sem ter de lidar com os padrões de segurança elevados seguidos pelos bancos. Embora eles não tenham conseguido acesso a contas bancárias, os bancos ainda terão de notificar seus clientes, responder perguntas sobre o incidente e potencialmente sofrer danos reputacionais.
O que aprendemos?
Atentar-se para a gestão do risco cibernético de terceiros (Third-party Cyber Risk Management – TPCRM) é mais importante do que nunca. O Data Breach Investigations Report (DBIR) da Verizon já havia soado o alarme quando apontou que o percentual de incidentes com perda de dados envolvendo um terceiro dobrou, chegando a 30%.
Agora, vendo que muitos dos grandes fornecedores de tecnologia sofrendo incidentes e paralisações no mesmo ano, é improvável que fornecedores menores permaneçam fora do radar dos hackers que estão tentando enxergar caminhos cada vez mais indiretos para atingirem seus alvos.
Empresas devem se manter engajadas com seus terceiros pelo que eles trazem em termos de eficiência, capacidade técnica e agilidade para se adaptar às dinâmicas do mercado. No entanto, é preciso compreender que os riscos associados são do negócio e não se deslocam para o terceiro.
Envolvendo-se mais com o terceiro para a gestão de risco cibernético, principalmente pela adoção de monitoramento contínuo inside-out, as empresas aumentam suas chances de permanecerem seguras no cenário atual.
Informações atualizadas sobre o risco de terceiros e incidentes também podem fornecer insights sobre como construir ou melhorar um programa de TPCRM. Nossa newsletter mensal e nosso podcast, ambos em inglês, podem ser úteis para esse fim.
