Observatório de violações de dados
Quatro em cada cinco pequenas empresas sofreram uma violação de dados recente. E um único incidente pode custar a uma pequena empresa mais de US$ 1 milhão. Então, por que não ouvimos mais notícias sobre violações de dados?
A Proton não espera que as violações sejam relatadas. Em vez disso, vamos à dark web e rastreamos vazamentos em tempo real. Clique abaixo para ver se você foi afetado e, para reduzir seu risco, use um gerenciador de senhas empresarial.
Raaga
O que aconteceu?
Um conjunto de dados contendo mais de 10 milhões de registros do serviço indiano de streaming de música Raaga apareceu na dark web após um incidente que supostamente ocorreu em dezembro de 2025. Os dados comprometidos incluem nomes, datas de nascimento, números de telefone, endereços de e-mail, nomes de usuário e senhas. Em janeiro de 2026, a empresa confirmou oficialmente(nova janela) a violação e aconselhou os usuários a alterar suas senhas e ativar a autenticação de dois fatores para proteger suas contas contra acesso não autorizado.
Canada Goose
O que aconteceu?
Em fevereiro de 2026, a marca canadense de roupas de luxo Canada Goose foi vinculada a uma exposição de dados envolvendo quase um milhão de registros de clientes. Em um comunicado oficial(nova janela), a empresa confirmou que os dados "parecem estar relacionados a transações de clientes anteriores" e afirmou que o incidente se originou de uma violação de terceiros em agosto de 2025. Os dados vazados incluíam nomes de clientes, endereços físicos, números de telefone e endereços de e-mail.
Association Nationale des Premiers Secours (ANPS)
O que aconteceu?
A Association Nationale des Premiers Secours (ANPS), uma organização sem fins lucrativos francesa de primeiros socorros, foi alvo de um ataque cibernético que resultou no vazamento de mais de 300.000 registros. Os dados expostos incluíam informações pessoais e financeiras confidenciais, como nomes, datas de nascimento, endereços, números de telefone, endereços de e-mail e IBANs. A ANPS confirmou que o vazamento se originou de um sistema legado(nova janela) e declarou que notificou a Autoridade Francesa de Proteção de Dados (CNIL).
Substack
O que aconteceu?
A plataforma de publicação digital Substack foi afetada por um grande incidente de raspagem de API que expôs as informações de contato de mais de 660.000 usuários. O incidente aconteceu em outubro de 2025, mas foi divulgado oficialmente em 6 de fevereiro de 2026(nova janela), poucos dias após um hacker conhecido como "w1kkid" ter vazado o que alegava ser dados de usuários do Substack. Em uma notificação enviada aos usuários, a empresa afirmou que senhas, números de cartão de pagamento e outras informações financeiras não foram expostas.
Bumble
O que aconteceu?
Em janeiro de 2026, o aplicativo de namoro Bumble confirmou(nova janela) que a conta de um prestador de serviços foi comprometida em um ataque de phishing, concedendo aos invasores acesso não autorizado à sua rede interna. O grupo cibercriminoso ShinyHunters assumiu a responsabilidade, supostamente exfiltrando 30 GB de dados, incluindo documentos da empresa e informações de funcionários. Embora o Bumble tenha afirmado que seu banco de dados de membros, contas de usuários e mensagens privadas não foram afetados, uma ação judicial coletiva(nova janela) apresentada em fevereiro de 2026 alega que uma ampla gama de informações de identificação pessoal (PII) do usuário foi exposta no ataque "evitável".
Match Group
O que aconteceu?
Em janeiro de 2026, o Match Group, empresa controladora do Tinder e Hinge, confirmou(nova janela) um incidente de segurança cibernética envolvendo uma "quantidade limitada de dados de usuários", afirmando não haver “indícios de que credenciais de usuários, informações financeiras ou comunicações privadas foram acessadas.” O ataque foi vinculado a uma campanha de voice phishing (vishing) do ShinyHunters(nova janela) visando seu provedor de identidade, Okta. Os dados expostos incluíam informações pessoais e de contato, como nomes, datas de nascimento, endereços, números de telefone e endereços de e-mail.
Panera Bread
O que aconteceu?
A cadeia americana de padaria e café Panera Bread sofreu uma grande violação de dados expondo mais de 8 milhões de registros de clientes, incluindo nomes, datas de nascimento, números de telefone e endereços de e-mail. De acordo com o The Register,(nova janela) o grupo cibercriminoso ShinyHunters obteve acesso aos sistemas internos da empresa ao comprometer um código SSO do Microsoft Entra. O incidente foi parte da campanha mais ampla de voice phishing (vishing) do grupo(nova janela) que também afetou Bumble, Match Group, SoundCloud e outros.
SoundCloud
O que aconteceu?
A plataforma de streaming de música SoundCloud foi afetada por uma exposição de dados envolvendo mais de 29 milhões de registros de usuários. O incidente fez parte da mesma campanha generalizada de "vishing" (nova janela)realizada pelo grupo de agentes de ameaças ShinyHunters, que teve como alvo várias grandes empresas de tecnologia no início de 2026. O SoundCloud confirmou(nova janela) que a exposição envolveu nomes e endereços de e-mail de clientes, e esclareceu que “nenhum dado confidencial (como dados financeiros ou senhas) foi acessado.”
Thermomix (Vorwerk) – Recipe World Forum
O que aconteceu?
Em janeiro de 2026, um banco de dados contendo mais de 3 milhões de registros de usuários do Thermomix Recipe World Forum (Rezeptwelt) vazou on-line após um incidente de segurança. A empresa controladora Vorwerk confirmou(nova janela) que a violação foi limitada a um servidor subordinado gerenciado por um provedor de serviços externo e não afetou sua plataforma principal ou dispositivos conectados. Os dados comprometidos incluíam nomes, datas de nascimento, endereços, números de telefone, endereços de e-mail e nomes de usuário.
Endesa
O que aconteceu?
Em janeiro de 2026, a empresa espanhola de energia Endesa notificou os clientes(nova janela) sobre um ataque cibernético que resultou no vazamento de informações altamente confidenciais, incluindo nomes, códigos postais, números de telefone, endereços de e-mail, números de identidade e IBANs. A Endesa confirmou que estava trabalhando com as autoridades para lidar com a violação, que provavelmente foi iniciada por meio de credenciais comprometidas.
Qantas Airways
O que aconteceu?
A companhia aérea nacional da Austrália, Qantas Airways Ltd., foi alvo de um grupo de hackers chamado Scattered Lapsus$ Hunters, que lançou um ataque de ransomware(nova janela). A empresa não pagou o resgate, o que levou ao vazamento de mais de 11 milhões de registros de clientes na dark web. Dados confidenciais, incluindo nomes, endereços e endereços de e-mail de clientes, foram expostos, mas nenhum registro financeiro apareceu. A Qantas anunciou que fortaleceu suas medidas de segurança após a violação de dados.
Vietnam Airlines
O que aconteceu?
Em outubro de 2025, um conjunto de dados obtido dos sistemas Salesforce de várias organizações foi divulgado on-line(nova janela) por um grupo de hackers conhecido como “Scattered LAPSUS$ Hunters.” Uma das empresas afetadas foi a Vietnam Airlines, onde os invasores já haviam acessado seu ambiente Salesforce em junho de 2025. A violação expôs mais de 30 milhões de registros de clientes, incluindo nomes, datas de nascimento, endereços, números de telefone e endereços de e-mail.
Bouygues Telecom
O que aconteceu?
Em agosto de 2025, a operadora de telecomunicações francesa Bouygues Telecom relatou um ataque cibernético(nova janela) que levou à exposição de quase 6,4 milhões de registros de clientes. Os dados vazados continham nomes, datas de nascimento, endereços, números de telefone, endereços de e-mail e IBANs. A empresa declarou que todos os clientes afetados foram notificados sobre o incidente.
Miljödata
O que aconteceu?
Em agosto de 2025, o fornecedor de sistemas sueco Miljödata sofreu um ataque de ransomware (nova janela)que levou à publicação de dados roubados na dark web. As informações vazadas incluíam endereços de e-mail e senhas, além de informações pessoais adicionais, como nomes, datas de nascimento, endereços, números de telefone e números de identidade pessoal emitidos pelo governo.
Grátis
O que aconteceu?
O segundo maior provedor de serviços de Internet e telefonia da França, Free(nova janela), confirmou em outubro de 2024 que havia sido alvo de uma violação de dados. Em maio de 2025, dados de clientes apareceram na dark web: nomes, datas de nascimento, números de telefone, endereços de e-mail e IBANs foram todos vazados. No total, mais de 19,5 milhões de registros apareceram on-line. A Comissão Nacional de Tecnologia da Informação e Liberdades lançou um processo de sanções contra a Free em março de 2025.
Royal Mail
O que aconteceu?
O serviço postal do Reino Unido, Royal Mail, foi afetado por uma violação de dados (nova janela)envolvendo um vazamento de 144 GB de informações de clientes. De acordo com relatos, o incidente teve origem na Spectos, um provedor de serviços alemão usado pelo Royal Mail para monitorar a qualidade das entregas. Os dados expostos incluíam nomes, datas de nascimento, endereços, números de telefone, endereços de e-mail e senhas.
Hertz
O que aconteceu?
Em abril de 2025, a gigante global de aluguel de carros Hertz confirmou uma violação de dados(nova janela) que resultou na exposição de informações de clientes. O incidente foi causado por uma vulnerabilidade de software de terceiros no Cleo, um programa de transferência de arquivos usado pela empresa. Os invasores exploraram falhas de "dia zero" no software para obter acesso não autorizado aos dados. Os dados comprometidos incluíam nomes, endereços de e-mail, nomes de usuário e senhas.
Orange Romania
O que aconteceu?
Em fevereiro de 2025, um hacker com o nome de Rey obteve mais de 3,4 milhões de registros da filial romena da provedora de telecomunicações Orange(nova janela). Dados como nomes de clientes, datas de nascimento, endereços, números de telefone, endereços de e-mail, nomes de usuário e números de identidade apareceram na dark web após um ataque de ransomware que a Orange se recusou a pagar. A Orange está monitorando o ataque juntamente com a Diretoria Nacional de Segurança Cibernética da Romênia (DNSC).
Zacks Investment Research
O que aconteceu?
A empresa de pesquisa de investimentos sediada em Chicago, Zacks Investment Research(nova janela), foi invadida por hackers em junho de 2024. Em fevereiro de 2025, dados de clientes, incluindo nomes, endereços, números de telefone, endereços de e-mail, nomes de usuário e senhas, apareceram à venda na Internet. A empresa ainda não se pronunciou sobre essa violação, tendo sido afetada por várias violações de dados nos últimos anos.
PhoneMondo
O que aconteceu?
Em janeiro de 2025, mais de 10,5 milhões de registros roubados da plataforma de telecomunicações alemã PhoneMondo apareceram na dark web. Os dados confidenciais incluem nomes, datas de nascimento, endereços, números de telefone, endereços de e-mail, nomes de usuário, senhas e IBANs. Até outubro de 2025, não parece que a PhoneMondo tenha reconhecido a violação.
Mantenha sua empresa fora desta lista
Suas senhas e a autenticação multifator são sua primeira linha de defesa contra hackers. Saiba como milhares de líderes de pequenas empresas simplificam o gerenciamento de senhas e protegem seus dados.
Sobre o Observatório de violações de dados
- O que é o Observatório de violações de dados?
- De onde você obtém suas informações?
- Por que relatar notícias de violação de dados?
- A divulgação de violações de dados recentes não prejudica as empresas?
- Como as violações são adicionadas ao Observatório de Violações de Dados?
- Quais dados são vazados?
- Quais tipos de dados tornam uma violação crítica?
- O que significa a data de publicação da violação?