ShinyHunters Rouba 297 GB dos Sistemas de RH do Conselho da Europa

ShinyHunters Rouba 297 GB dos Sistemas de RH do Conselho da Europa

O Conselho da Europa, a principal instituição do continente para os direitos humanos, a democracia e o Estado de Direito, tornou-se a mais recente vítima de destaque do grupo de ransomware ShinyHunters. A violação expôs 297 GB de dados sensíveis de RH e folhas de pagamento, incluindo mais de 409 mil recibos de vencimento e mais de 14 mil currículos de funcionários, afetando pessoal do Secretariado e da Direção de Recursos Humanos. A violação de dados do Conselho da Europa pelo ShinyHunters não é apenas um incidente de cibersegurança; é um lembrete contundente de que até as entidades encarregadas de proteger os direitos dos cidadãos podem falhar na proteção dos registos pessoais dos seus próprios colaboradores.

O que foi roubado: por dentro da violação de 297 GB de RH e folhas de pagamento

De acordo com as alegações do ShinyHunters, o volume obtido nesta violação é substancial. Mais de 429 mil ficheiros foram comprometidos, abrangendo recibos de vencimento, currículos, contratos de trabalho e registos internos de RH. Só os recibos de vencimento representam mais de 409 mil documentos, o que significa que esta violação provavelmente abrange uma parte significativa da força de trabalho atual e anterior do Conselho.

Não é possível exagerar a sensibilidade destes dados. Os recibos de vencimento costumam conter nomes legais completos, endereços residenciais, números de identificação nacional, dados bancários, informações salariais e registos fiscais. Os currículos acrescentam mais uma camada de exposição, incluindo o histórico académico, referências pessoais e informações sobre empregos anteriores. Juntos, estes dados fornecem aos cibercriminosos tudo o que necessitam para realizar campanhas de phishing direcionadas, cometer fraudes de identidade ou vender perfis individuais nos mercados da dark web.

Este tipo de ataque focado nos RH é cada vez mais comum. A violação do sistema de RH do Statistics South Africa seguiu um padrão notavelmente semelhante, com os atacantes a visarem a infraestrutura interna de recursos humanos para extrair registos de funcionários, em vez de atacarem sistemas virados para o cliente.

Porque é que o Conselho da Europa é um alvo de elevado valor para grupos de ransomware

À primeira vista, uma organização intergovernamental focada nos direitos humanos pode parecer um alvo de ransomware incomum. Na prática, é excecionalmente atraente. O Conselho da Europa emprega milhares de pessoas na sua sede em Estrasburgo e em vários escritórios de campo, o que significa que as suas bases de dados de RH estão repletas de registos pessoais. O prestígio institucional também aumenta a alavancagem disponível para os grupos de ransomware: o custo reputacional de uma violação é maior para uma entidade cujo mandato inclui os direitos dos cidadãos e a proteção de dados.

O ShinyHunters tem um padrão bem documentado de atacar organizações grandes e visíveis para maximizar a pressão para o pagamento de resgates. No início deste ano, o grupo emitiu um ultimato público ao fornecedor de telecomunicações neerlandês Odido. Tal como detalhado na cobertura da violação de dados da Odido que afetou 8 milhões de clientes, o ShinyHunters ameaçou publicar os dados roubados dos clientes caso não fosse pago um resgate, demonstrando a sua vontade de utilizar a divulgação pública como ferramenta de pressão. Esse mesmo manual parece estar a ser aplicado aqui.

A violação do Conselho da Europa surge também depois de o ShinyHunters ter reivindicado anteriormente um ataque à infraestrutura de cloud da Comissão Europeia, que terá envolvido mais de 350 GB de dados da plataforma Europa.eu. Considerados em conjunto, estes incidentes sugerem que o grupo tornou as instituições europeias um alvo deliberado das suas operações em 2025 e 2026.

A ironia de os vigilantes da privacidade não conseguirem proteger os dados pessoais

O Conselho da Europa é a entidade responsável pela Convenção Europeia dos Direitos Humanos e supervisiona os quadros que os Estados-membros utilizam para regular a proteção de dados e a privacidade digital. Por outras palavras, é uma instituição que define o padrão de como os dados pessoais devem ser tratados e protegidos. A ironia de essa mesma instituição sofrer uma violação desta escala é difícil de ignorar.

Esta não é uma tensão isolada. As grandes instituições têm frequentemente infraestruturas informáticas complexas e herdadas, relações com fornecedores vastas e dados da força de trabalho dispersos por dezenas de sistemas interligados. Essas realidades estruturais criam superfícies de ataque genuinamente difíceis de gerir, independentemente da força dos compromissos declarados com a privacidade. A violação ilustra que boas intenções políticas não se traduzem automaticamente em boa segurança operacional.

Para os funcionários afetados, as consequências são imediatas e pessoais. Qualquer pessoa cujo recibo de vencimento ou currículo esteja entre os mais de 429 mil ficheiros enfrenta agora uma potencial exposição dos seus dados financeiros e documentos de identidade. As vendas na dark web de dados institucionais de RH, como as observadas no anúncio de dados de clientes da Iliad Italia, tendem a ocorrer rapidamente após as violações, oferecendo aos criminosos um mercado pronto para os registos roubados.

Como os indivíduos se podem proteger quando as instituições falham

Quando um empregador ou instituição é violado, os indivíduos afetados têm um controlo limitado sobre o que foi levado. Mas existem medidas concretas que pode tomar para limitar uma maior exposição.

Monitorize atentamente as suas contas financeiras. Os dados bancários expostos nos recibos de vencimento podem ser utilizados para fraudes diretas. Ative alertas para transações invulgares e considere se um congelamento temporário de consultas de crédito é adequado na sua jurisdição.

Esteja atento a tentativas de spear-phishing. Os atacantes que possuem o seu currículo e recibo de vencimento conhecem a sua entidade patronal, faixa salarial e cargo. Podem criar e-mails de falsificação muito convincentes utilizando esse contexto. Trate as mensagens inesperadas que solicitem ações ou credenciais com um ceticismo redobrado, mesmo que pareçam vir de colegas ou do RH.

Utilize uma VPN em redes públicas e partilhadas. Embora uma VPN não impeça uma violação do lado do servidor, protege o seu tráfego contra a interceção quando acede a portais do empregador ou a contas sensíveis remotamente, reduzindo um vetor de roubo de credenciais.

Verifique se os seus dados aparecem em bases de dados de violações. Serviços que monitorizam conjuntos de dados de violações conhecidas podem alertá-lo se o seu email ou outros identificadores surgirem em dados recentemente publicados.

Peça clareza ao seu empregador. Se for funcionário ou contratante do Conselho da Europa, exija uma comunicação específica sobre quais os registos afetados e que medidas de reparação estão a ser oferecidas.

As violações institucionais como esta são um lembrete de que a higiene dos dados pessoais é mais importante precisamente quando as organizações que detêm os seus registos falham na sua proteção. Rever a sua exposição, proteger as suas contas e manter-se alerta contra a engenharia social não são extras opcionais; são a resposta de base quando dados que não entregou a criminosos acabam, ainda assim, nas suas mãos.

A escalada de ataques do ShinyHunters contra instituições europeias sugere que este grupo não está a abrandar. Manter-se informado e tomar medidas proativas na sua própria segurança digital é a resposta mais eficaz disponível para os indivíduos apanhados no fogo cruzado.