Um dos maiores grupos de seguros do mundo, a Aflac, confirmou um incidente de segurança que impactou diretamente 4,38 milhões de segurados no Japão. O ataque explorou vulnerabilidades nos sistemas da subsidiária japonesa, resultando no acesso não autorizado a dados pessoais e informações bancárias sensíveis de clientes.
Detalhes do incidente de segurança
Hackers acessaram o portal de segurados da gigante de seguros em múltiplas ocasiões entre 15 e 25 de junho de 2026. O incidente foi descoberto durante uma auditoria de segurança de rotina, que revelou atividades anômalas no tráfego de rede e acesso a bancos de dados de clientes. A Aflac notificou as autoridades regulatórias japonesas e iniciou um processo de investigação forense para determinar a extensão exata do comprometimento.
Os dados comprometidos incluem nomes completos, endereços, datas de nascimento e, em alguns casos, informações de contas bancárias. A empresa enfatizou que não há evidências de que dados financeiros sensíveis, como números de cartão de crédito, tenham sido exfiltrados, mas a exposição de dados pessoais representa um risco significativo de fraude e phishing direcionado.
Implicações regulatórias e LGPD
Este incidente levanta questões importantes sobre a conformidade com a Lei de Proteção de Informações Pessoais (APPI) do Japão e implicações para a LGPD no Brasil, considerando a natureza global da Aflac. Organizações multinacionais devem garantir que seus processos de notificação de violação estejam alinhados com as leis locais e internacionais. A falha em proteger dados de segurados pode resultar em multas pesadas e danos reputacionais severos.
A Aflac recomendou que os clientes afetados monitorem suas contas bancárias e relatem qualquer atividade suspeita imediatamente. A empresa também está oferecendo serviços de monitoramento de crédito para os indivíduos impactados como medida de mitigação proativa.
Linha do tempo do incidente
- 15 de junho: Primeiro acesso não autorizado detectado.
- 25 de junho: Último acesso confirmado pelos atacantes.
- 30 de junho: Aflac divulga o vazamento publicamente.
- 01 de julho: Início da notificação individual aos afetados.
Recomendações para executivos de risco
Empresas que lidam com dados sensíveis de clientes devem revisar seus controles de acesso e implementar monitoramento contínuo de anomalias. A segmentação de redes e o princípio do menor privilégio são essenciais para limitar o impacto de um comprometimento. Além disso, planos de resposta a incidentes devem ser testados regularmente para garantir uma reação rápida e eficaz.