Introdução
O provedor de serviços financeiros Marquis, baseado no Texas, revelou que um grupo de ransomware roubou os dados de mais de 672.000 indivíduos em um ciberataque ocorrido em agosto de 2025. O incidente também interrompeu as operações em 74 bancos em todo os Estados Unidos, destacando a fragilidade da cadeia de suprimentos de software financeiro.
Este vazamento de dados representa uma das maiores exposições de informações pessoais no setor financeiro recente. A empresa, que fornece software para permitir que instituições financeiras se comuniquem com clientes, foi o vetor inicial do comprometimento, afetando indiretamente os bancos que utilizam sua plataforma.
Descoberta e escopo do incidente
O ataque foi descoberto e confirmado pelo Marquis, que notificou as autoridades e os clientes afetados. O escopo do incidente abrange dados pessoais de indivíduos que utilizam os serviços dos 74 bancos impactados. A natureza do ataque sugere que os criminosos exploraram uma vulnerabilidade no software do Marquis para acessar o banco de dados central.
A interrupção das operações nos bancos indica que o ataque não foi apenas de roubo de dados, mas também de negação de serviço. Isso afetou a capacidade dos clientes de realizar transações, acessar contas e gerenciar suas finanças pessoais durante o período de comprometimento.
Evidências e limites da exploração
Relatórios indicam que o grupo de ransomware utilizou técnicas avançadas para contornar as defesas de segurança do Marquis. A capacidade de acessar dados de 672.000 pessoas sugere que o acesso foi mantido por um período prolongado antes da descoberta. A falta de detecção imediata aponta para possíveis falhas nos sistemas de monitoramento de segurança.
O ataque não se limitou à exfiltração de dados. A interrupção operacional em 74 bancos demonstra que os criminosos também criaram caos para forçar o pagamento do resgate. A complexidade do ataque requer uma resposta coordenada entre o fornecedor de software e as instituições financeiras afetadas.
Impacto e alcance
O impacto financeiro e reputacional para os 74 bancos afetados é significativo. A perda de confiança dos clientes pode levar a uma migração para concorrentes mais seguros. Além disso, as instituições podem enfrentar custos legais e regulatórios devido ao vazamento de dados pessoais.
Para os indivíduos afetados, o risco de fraude financeira e roubo de identidade aumenta drasticamente. Dados pessoais expostos podem ser vendidos no mercado negro e utilizados para criar contas falsas, solicitar empréstimos ou realizar transações fraudulentas.
Medidas de mitigação recomendadas
As instituições financeiras devem revisar imediatamente seus contratos com fornecedores de software para garantir que os requisitos de segurança sejam atendidos. A implementação de monitoramento contínuo de terceiros é essencial para detectar comprometimentos na cadeia de suprimentos.
Os clientes afetados devem monitorar suas contas bancárias em busca de atividades suspeitas e considerar o congelamento de crédito para prevenir fraudes de identidade. A educação do usuário sobre phishing e segurança digital também é crucial para mitigar riscos adicionais.
Implicações regulatórias (LGPD)
Embora o incidente tenha ocorrido nos Estados Unidos, empresas brasileiras que utilizam o mesmo software ou têm operações globais devem considerar as implicações da LGPD. A exposição de dados de cidadãos brasileiros pode exigir notificação à ANPD e medidas de reparação.
A responsabilidade pela proteção de dados é compartilhada na cadeia de suprimentos. As instituições financeiras devem garantir que seus fornecedores cumpram os padrões de segurança exigidos pela lei brasileira e internacional.
O que os CISOs devem fazer imediatamente
Os CISOs devem revisar a segurança de todos os fornecedores de software críticos em sua infraestrutura. A avaliação de riscos de terceiros deve incluir testes de penetração e auditorias de segurança regulares. A preparação para incidentes de cadeia de suprimentos deve ser parte do plano de resposta a incidentes.
A comunicação com os clientes e partes interessadas deve ser transparente e oportuna. A transparência ajuda a manter a confiança e permite que os afetados tomem medidas para proteger seus dados.
Perguntas frequentes
Quantas pessoas foram afetadas? Mais de 672.000 indivíduos tiveram seus dados roubados.
Quantos bancos foram impactados? 74 bancos nos Estados Unidos tiveram operações interrompidas.
Qual é o risco para os clientes? Risco de fraude financeira e roubo de identidade devido à exposição de dados pessoais.