Ataque compromete quase 900 contas e expõe dados sensíveis dos funcionários do Starbucks, evidenciando necessidade de reforçar os protocolos de autenticação e a segurança profissional
A Starbucks confirmou a ocorrência de um incidente de segurança cibernética que resultou no comprometimento de 889 contas de colaboradores em sua plataforma global de gestão, o Starbucks Partner Central. Diferente de invasões que exploram brechas técnicas em servidores, o ataque utilizou campanhas sofisticadas de phishing, que induziram os funcionários a entregarem voluntariamente suas credenciais de acesso em sites fraudulentos que imitavam a identidade visual da empresa.
O vazamento serve como um alerta crítico de que a engenharia social continua sendo uma das armas mais usadas do cibercrime. Ao obter o controle das contas legítimas, os invasores ganharam acesso a um volume sensível de informações pessoais e bancárias, colocando centenas de profissionais sob risco de roubo de identidade e fraudes financeiras. A estratégia dos criminosos foi baseada na replicação visual. Foram criados domínios com endereços web semelhantes aos oficiais, utilizando logotipos e layouts idênticos ao portal de RH da companhia.
Os colaboradores receberam notificações enviadas por e-mail ou mensagens instantâneas, disfarçadas de alertas urgentes de sistema ou solicitações de verificação de conta. Ao clicarem nos links e realizarem o login na página falsa, seus dados eram capturados em tempo real, permitindo que os atacantes acessassem o sistema interno real da Starbucks.
Com a invasão das contas no Partner Central, diversos tipos de informações tornaram-se vulneráveis:
- Números de Seguro Social (SSN)
- Datas de nascimento e dados cadastrais
- Informações de contato e dados bancários
De acordo com a Clavis, empresa de segurança da informação, afirma que testes de resiliência são a forma mais eficaz de prevenir danos de engenharia social. Para fortalecer a defesa das organizações, a empresa recomenda a realização periódica de Pentests, que identificam vulnerabilidades antes da exploração, e compartilha dicas essenciais de segurança para 2026.
Dentre a infinidade de medidas protetivas, destacamos as principais:
- Tenha uma Política de Segurança da Informação: Estabeleça e documente políticas claras que definam os procedimentos e responsabilidades de todos os funcionários.
- Controle de acesso pelo princípio do menor privilégio: Garanta que os colaboradores tenham acesso apenas às informações estritamente necessárias para suas funções.
- Autenticação em duas etapas (MFA): Ative essa camada extra em todos os sistemas críticos, utilizando biometria ou aplicativos de autenticação para dificultar o acesso indevido.
- Treinamentos frequentes: Eduque a equipe regularmente sobre como reconhecer tentativas de phishing e outras táticas de manipulação digital.
- Gerenciamento contínuo de vulnerabilidades: Realize varreduras e testes de invasão constantes para identificar e sanar pontos cegos na infraestrutura.
A segurança da informação deve ser encarada como uma cultura contínua, unindo ferramentas de ponta, como os testes de invasão, à conscientização constante de cada colaborador. Somente através da vigilância rigorosa e da atualização de protocolos será possível transformar o fator humano, hoje o elo mais visado, na primeira e mais eficiente linha de defesa contra o cibercrime.
ECA Digital: entenda quais as regras para uso de imagem de alunos
Estudo inédito mapeia práticas de aferição de idade em serviços digitais no Brasil
Busca.Legal e Taxcel lançam simulador com dados para empresas se adaptarem à reforma tributária
Acesse a coluna na qual falamos sobre Dados!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
