Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Publicado em 26/11/2025
Um grupo hacker afirma ter obtido 90 GB de dados ligados à Petrobras e ameaça divulgar o material caso não haja pagamento. O caso, associado a relatos internacionais de crescente exploração de vulnerabilidades por criminosos, reforça a urgência de revisão nos protocolos de segurança de fornecedores estratégicos.
A seguir, o panorama completo, os riscos jurídicos e operacionais e as medidas emergenciais recomendadas.
1. O que se sabe sobre o ataque
Um grupo hacker publicou um ultimato afirmando ter roubado 90 GB de arquivos relacionados à Petrobras. Segundo os criminosos, o ponto de entrada teria sido uma fornecedora terceirizada, o que indica falha na cadeia de suprimentos — hoje, um dos vetores de ataque mais explorados no mundo.
A ação segue o mesmo padrão de ataques realizados por gangues internacionais: infiltração via credenciais vazadas, extração silenciosa de arquivos e posterior extorsão (“pague ou divulgamos”).
2. Contexto internacional reforça o alerta
Relatórios recentes citados pela Reuters mostram que grupos de cibercrime ao redor do mundo intensificaram ataques contra grandes companhias, explorando falhas técnicas e humanas na cadeia de fornecedores.
Em muitos casos, a empresa-alvo sequer é diretamente comprometida; o ataque ocorre em parceiros que têm acesso privilegiado a sistemas, documentos ou redes internas.
Isso aprofunda um problema já conhecido:
não basta proteger o ambiente interno — é indispensável auditar a segurança de todos os fornecedores críticos.
3. O que pode ter sido comprometido
Embora ainda não haja confirmação oficial sobre o tipo de dado, casos semelhantes costumam envolver:
- Documentos internos e relatórios operacionais
- Dados de acesso a sistemas
- Informações sobre contratos, plantas industriais ou projetos
- Informações pessoais de funcionários
- Credenciais compartilhadas entre empresas e fornecedores
A depender da natureza do conteúdo, os impactos podem incluir prejuízo operacional, perda de vantagem competitiva, riscos ambientais e danos à imagem institucional.
4. Implicações jurídicas e de compliance
Quando se trata de empresa estatal ou de capital misto, o cenário jurídico é ainda mais sensível.
4.1 LGPD e responsabilidade pelo vazamento
A Lei Geral de Proteção de Dados impõe responsabilidade ao controlador mesmo quando o vazamento ocorre em um operador terceirizado.
Se houver dados pessoais entre os arquivos supostamente extraídos, haverá necessidade de:
- investigação interna
- comunicação à ANPD (se aplicável)
- comunicação aos titulares afetados
- avaliação de risco e plano de mitigação
4.2 Contratos com fornecedores
O incidente reforça a importância de cláusulas específicas de segurança:
- exigência de criptografia de dados
- padrões mínimos de segurança
- auditorias externas
- responsabilização por falha de proteção
- obrigação de reporte imediato de incidentes
Muitos contratos de fornecimento ainda tratam segurança digital como um item secundário — e ataques como esse mostram o tamanho da vulnerabilidade.
4.3 Riscos reputacionais e econômicos
Vazamentos envolvendo empresas de infraestrutura e energia causam impactos em três frentes:
- reputação e confiança do mercado
- elevação de custos de mitigação
- possível oscilação de ações
Além disso, ataques repetidos podem afetar até decisões de investidores e órgãos fiscalizadores.
5. Medidas imediatas recomendadas
Para empresas de grande porte e especialmente para estatais, as recomendações incluem:
- Revisão urgente dos acessos concedidos a fornecedores
- Auditoria em credenciais, senhas compartilhadas e integrações
- Aplicação de autenticação forte (MFA)
- Monitoramento de logs e identificação de acessos suspeitos
- Revisão contratual de requisitos de segurança
- Testes de intrusão (pentests) em sistemas externos e internos
- Plano de resposta a incidentes com acionamento imediato de equipes técnicas e jurídicas
6. Conclusão
O possível vazamento de 90 GB ligados à Petrobras, somado ao aumento global de ataques por meio de fornecedores, evidencia uma verdade incômoda: a segurança de uma organização é tão forte quanto o seu parceiro mais fraco.
A era da hiper-conectividade torna indispensável auditar toda a cadeia, reforçar políticas de acesso, revisar contratos e adotar uma postura de vigilância contínua.
Para empresas estratégicas do país, segurança digital não é opção — é questão de soberania.
Fonte: Click Petróleo e Gás; Reuters
Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Formado em Segurança Pública, Bacharel em Direito e Especialista em Perícia Digital Forense e Direito Digital, Marco Aurélio atua como palestrante em Segurança Digital, com foco na prevenção e análise de incidentes cibernéticos, proteção de dados e compliance digital. Criador da M A Segurança Digital, dedica-se a traduzir a tecnologia em linguagem jurídica e prática para empresas e profissionais do Direito.