O grupo de ransomware Nova afirma ter comprometido a KPMG na Holanda e exfiltrado dados sensíveis, segundo relato do site Cyber Security News com indexação do incidente em 23 de janeiro de 2026. A KPMG ainda não confirmou publicamente o incidente, de acordo com a matéria.
O que foi reportado
Cyber Security News informa que o vazamento foi descoberto e indexado em 23 de janeiro e que os atacantes publicaram um prazo de dez dias para contato e negociação de resgate. O texto afirma que o alvo foi a divisão neerlandesa da KPMG, que lida com dados confidenciais de clientes nos setores financeiro e de conformidade.
Perfil do ator
Nova é descrito pela matéria como uma operação de ransomware ativa que tem como padrão alvos de alto perfil nos setores de serviços profissionais e financeiro. O grupo mantém infraestrutura de vazamento distribuída em múltiplos domínios .onion, segundo a reportagem, e opera elementos de C2 na rede Tor.
Evidências e verificação
A matéria baseia-se em indexação realizada por sites de leak (ransomware live) e em indicadores públicos observados por pesquisadores. Não há, no texto consultado, declaração oficial da KPMG nem evidência técnica detalhada disponibilizada pela própria KPMG ou por agências de resposta oficiais.
Impacto potencial e implicações
Caso confirmado, o comprometimento de uma grande consultoria como a KPMG pode ter implicações importantes de proteção de dados (clientes, contratos, informações financeiras) e potenciais implicações regulatórias sob legislações como a LGPD para clientes brasileiros se dados pessoais forem expostos. O artigo recomenda que clientes e stakeholders acompanhem as comunicações oficiais da KPMG para avaliar impacto e prazos de remediação.
Limitações e recomendações
Por ora, faltam confirmações independentes e detalhes sobre escopo dos dados exfiltrados. Equipes de risco, compliance e segurança de clientes da KPMG devem solicitar comunicações formais da prestadora, revisar possíveis contratos que impliquem compartilhamento de dados sensíveis e preparar planos de resposta para notificações de violação de dados.
Fonte: Cyber Security News (Abinaya). A reportagem descreve a reivindicação do grupo Nova, mas não apresenta confirmação oficial da vítima no momento da publicação.