Hacker ameaça divulgar 90 GB de dados da Petrobras e expõe falhas críticas de segurança em fornecedores

Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Publicado em 26/11/2025


Um grupo hacker afirma ter obtido 90 GB de dados ligados à Petrobras e ameaça divulgar o material caso não haja pagamento. O caso, associado a relatos internacionais de crescente exploração de vulnerabilidades por criminosos, reforça a urgência de revisão nos protocolos de segurança de fornecedores estratégicos.

A seguir, o panorama completo, os riscos jurídicos e operacionais e as medidas emergenciais recomendadas.

1. O que se sabe sobre o ataque

Um grupo hacker publicou um ultimato afirmando ter roubado 90 GB de arquivos relacionados à Petrobras. Segundo os criminosos, o ponto de entrada teria sido uma fornecedora terceirizada, o que indica falha na cadeia de suprimentos — hoje, um dos vetores de ataque mais explorados no mundo.
A ação segue o mesmo padrão de ataques realizados por gangues internacionais: infiltração via credenciais vazadas, extração silenciosa de arquivos e posterior extorsão (“pague ou divulgamos”).

2. Contexto internacional reforça o alerta

Relatórios recentes citados pela Reuters mostram que grupos de cibercrime ao redor do mundo intensificaram ataques contra grandes companhias, explorando falhas técnicas e humanas na cadeia de fornecedores.
Em muitos casos, a empresa-alvo sequer é diretamente comprometida; o ataque ocorre em parceiros que têm acesso privilegiado a sistemas, documentos ou redes internas.

Isso aprofunda um problema já conhecido:
não basta proteger o ambiente interno — é indispensável auditar a segurança de todos os fornecedores críticos.

3. O que pode ter sido comprometido

Embora ainda não haja confirmação oficial sobre o tipo de dado, casos semelhantes costumam envolver:

  • Documentos internos e relatórios operacionais
  • Dados de acesso a sistemas
  • Informações sobre contratos, plantas industriais ou projetos
  • Informações pessoais de funcionários
  • Credenciais compartilhadas entre empresas e fornecedores

A depender da natureza do conteúdo, os impactos podem incluir prejuízo operacional, perda de vantagem competitiva, riscos ambientais e danos à imagem institucional.

4. Implicações jurídicas e de compliance

Quando se trata de empresa estatal ou de capital misto, o cenário jurídico é ainda mais sensível.

4.1 LGPD e responsabilidade pelo vazamento

A Lei Geral de Proteção de Dados impõe responsabilidade ao controlador mesmo quando o vazamento ocorre em um operador terceirizado.
Se houver dados pessoais entre os arquivos supostamente extraídos, haverá necessidade de:

  • investigação interna
  • comunicação à ANPD (se aplicável)
  • comunicação aos titulares afetados
  • avaliação de risco e plano de mitigação

4.2 Contratos com fornecedores

O incidente reforça a importância de cláusulas específicas de segurança:

  • exigência de criptografia de dados
  • padrões mínimos de segurança
  • auditorias externas
  • responsabilização por falha de proteção
  • obrigação de reporte imediato de incidentes

Muitos contratos de fornecimento ainda tratam segurança digital como um item secundário — e ataques como esse mostram o tamanho da vulnerabilidade.

4.3 Riscos reputacionais e econômicos

Vazamentos envolvendo empresas de infraestrutura e energia causam impactos em três frentes:

  • reputação e confiança do mercado
  • elevação de custos de mitigação
  • possível oscilação de ações
    Além disso, ataques repetidos podem afetar até decisões de investidores e órgãos fiscalizadores.

5. Medidas imediatas recomendadas

Para empresas de grande porte e especialmente para estatais, as recomendações incluem:

  • Revisão urgente dos acessos concedidos a fornecedores
  • Auditoria em credenciais, senhas compartilhadas e integrações
  • Aplicação de autenticação forte (MFA)
  • Monitoramento de logs e identificação de acessos suspeitos
  • Revisão contratual de requisitos de segurança
  • Testes de intrusão (pentests) em sistemas externos e internos
  • Plano de resposta a incidentes com acionamento imediato de equipes técnicas e jurídicas

6. Conclusão

O possível vazamento de 90 GB ligados à Petrobras, somado ao aumento global de ataques por meio de fornecedores, evidencia uma verdade incômoda: a segurança de uma organização é tão forte quanto o seu parceiro mais fraco.
A era da hiper-conectividade torna indispensável auditar toda a cadeia, reforçar políticas de acesso, revisar contratos e adotar uma postura de vigilância contínua.
Para empresas estratégicas do país, segurança digital não é opção — é questão de soberania.

Fonte: Click Petróleo e Gás; Reuters

Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Formado em Segurança Pública, Bacharel em Direito e Especialista em Perícia Digital Forense e Direito Digital, Marco Aurélio atua como palestrante em Segurança Digital, com foco na prevenção e análise de incidentes cibernéticos, proteção de dados e compliance digital. Criador da M A Segurança Digital, dedica-se a traduzir a tecnologia em linguagem jurídica e prática para empresas e profissionais do Direito.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *