Detalhes do incidente
O grupo de cibercriminosos ShinyHunters assumiu a responsabilidade por uma grande violação de dados que atingiu a Udemy, uma das maiores plataformas de aprendizado online do mundo. A alegação foi feita em 24 de abril de 2026, quando o grupo publicou um aviso de "Pague ou Vaze" em seu site de vazamento de dados, estabelecendo um prazo final de 27 de abril para a Udemy responder.
O grupo afirma ter comprometido mais de 1,4 milhão de registros contendo informações pessoais identificáveis (PII) e dados corporativos internos. A mensagem de ameaça inclui o aviso característico do grupo: "Tome a decisão certa, não seja a próxima manchete", indicando a intenção de extorsão financeira.
Perfil do grupo criminoso
O ShinyHunters é um grupo de extorsão motivado financeiramente, formado em 2019, conhecido pelo modelo "Pague ou Vaze". O grupo ganhou notoriedade em 2020 ao alegar o roubo de mais de 200 milhões de registros de mais de 13 empresas. Em 2026, o grupo escalou suas campanhas, focando em plataformas SaaS e no setor de educação.
Vítimas anteriores deste ano incluem Vercel, McGraw-Hill e, em fevereiro, a Universidade de Harvard, onde aproximadamente 115.000 registros sensíveis de ex-alunos foram expostos. A inteligência de ameaças do Google tem rastreado as operações de roubo de dados focadas em SaaS do grupo, atribuindo a atividade de extorsão ao cluster afiliado UNC6240.
Técnicas de ataque
O ShinyHunters mudou recentemente de exploração de rede tradicional para ataques de engenharia social e camada de identidade, incluindo vishing (phishing de voz), bypass de MFA e coleta de credenciais via infostealers. Suas campanhas frequentemente aproveitam plataformas SaaS comprometidas, integrações de terceiros e credenciais de contratantes roubados para contornar defesas de perímetro.
O setor de educação permanece um alvo de alto valor para o grupo, que anteriormente violou a plataforma indiana Unacademy, roubando mais de 10 milhões de contas de usuários. A Udemy não emitiu declaração oficial confirmando ou negando a violação até o momento.
Recomendações para organizações
Organizações que utilizam a Udemy para treinamento de funcionários ou que possuem contas ativas devem monitorar atividades suspeitas, redefinir credenciais e habilitar autenticação multifator como medida preventiva. A verificação de vazamentos de dados em sites de dark web e monitoramento de comunicações do grupo são essenciais.
Implicações regulatórias
Este incidente reforça a necessidade de conformidade com regulamentações de proteção de dados, como a LGPD no Brasil e o GDPR na Europa. A exposição de dados de usuários pode resultar em multas significativas e danos à reputação. A transparência na comunicação do incidente e a implementação de medidas de segurança robustas são fundamentais para mitigar impactos legais e operacionais.