ShinyHunters reivindica roubo de 297 GB do Conselho da Europa, com folha de 10 mil funcionários

O grupo de extorsão ShinyHunters publicou no domingo (14) reivindicação de roubo de 297 GB de dados do Conselho da Europa, sediado em Estrasburgo. Em postagem no próprio site de vazamento, o grupo afirma ter exfiltrado 429 mil arquivos contendo registros de folha de pagamento de mais de 10 mil funcionários entre 2011 e 2026, mais de 409 mil holerites, 14 mil currículos e cerca de 10,7 mil pastas individuais de pessoal. A data do ataque informada pelo próprio grupo é 13 de junho. O Conselho da Europa não havia se pronunciado publicamente até o fechamento desta matéria.

O ShinyHunters definiu prazo final de 16 de junho para o Conselho entrar em contato, sob ameaça de divulgação completa do conjunto. Os dados reivindicados incluem registros bancários, fiscais e trabalhistas associados ao staff da instituição, segundo descrição postada pelo próprio grupo e replicada por agregadores especializados como ransomware.live. Nenhuma fonte primária independente, como regulador europeu de proteção de dados, confirmou até este domingo que os dados publicados correspondem a registros autênticos do Conselho.

O alvo (e o que ele não é)

O Conselho da Europa não é instituição da União Europeia. Foi criado em 1949, reúne 46 Estados-membros e abriga a Corte Europeia de Direitos Humanos. Os dados que o ShinyHunters afirma ter incluem informações sobre juízes, procuradores e funcionários técnicos espalhados em diretorias variadas, com referência a pastas DGI, DGII, DG-HR e DG-HRL nas amostras compartilhadas. A confusão entre Conselho da Europa e Comissão Europeia ou Conselho da UE foi recorrente nas primeiras matérias publicadas no domingo, especialmente pela proximidade temporal com a discussão sobre Anthropic e soberania europeia.

O ShinyHunters reivindicou em março de 2026 ataque parecido contra um ambiente AWS atribuído à Comissão Europeia. Em ambos os casos, a confirmação oficial do alvo demorou semanas e veio com escopo distinto do reivindicado pelo grupo. A coleta atual, caso autêntica, abrange dados pessoais de cidadãos de pelo menos 46 países e acionaria notificação obrigatória ao Comitê de Proteção de Dados do próprio Conselho e à supervisão CETS 108+, regime continental equivalente à GDPR no que diz respeito a tratados.

O modus operandi do grupo

ShinyHunters opera há cerca de seis anos como vendedor de dados em fóruns underground. O grupo já reivindicou ataques contra Madison Square Garden Sports, Ralph Lauren, JCPenney, American Tower e várias subsidiárias do Catalyst Brands e do Authentic Brands Group. O padrão é o mesmo: extorsão por exposição em vez de criptografia clássica, com prazos curtos, amostras de arquivos como prova e site de vazamento gerenciado em infraestrutura Tor.

A reivindicação deste fim de semana afirma que o vetor de entrada foi um repositório de arquivos administrativos centrais. O grupo não publicou ainda evidência criptográfica de posse exclusiva, como hashes íntegros ou metadata original dos arquivos, controles técnicos que pesquisadores de inteligência de ameaças costumam exigir antes de tratar uma reivindicação como confirmada.

A leitura para CISOs

A reivindicação reabre um problema corporativo que segurança de aplicação não cobre: a exposição de dados de Recursos Humanos em sistemas administrativos legados. A descrição do conjunto de pastas citada pelo grupo sugere armazenamento em servidor de arquivos compartilhado, modelo ainda comum em organizações internacionais e em ministérios. CISOs em multinacionais europeias e em organizações com presença em Genebra, Bruxelas e Estrasburgo replicam estrutura semelhante: NetApp ou Windows File Server centralizado com permissões por diretoria, frequentemente fora do perímetro EDR mais novo do parque corporativo.

No setor financeiro, a réplica do problema é o repositório de folha de pagamento. Itaú, Bradesco e BTG Pactual no Brasil, BBVA na Espanha e DBS em Singapura mantêm arquivos com mais de uma década de holerites digitalizados em sistemas adjacentes ao core bancário. Um ataque equivalente ao reivindicado contra o Conselho exporia, em jurisdições com regras GDPR-like, sanções acumuladas com facilidade superiores a oito dígitos em euros por Estado-membro afetado.

O que ainda precisa ser respondido

Sem confirmação do Conselho da Europa, três perguntas seguem em aberto. Primeiro, se houve de fato exfiltração no volume reivindicado ou se o grupo apenas reúne amostras antigas de outras violações. Segundo, se há vetor explorado conhecido (CVE recente, credencial comprada ou phishing direcionado) ou se a entrada foi por insider. Terceiro, se outros corpos diplomáticos europeus em Estrasburgo, incluindo Parlamento Europeu em sessões plenárias, compartilharam infraestrutura agora suspeita.

A resposta esperada para esta segunda-feira é o pronunciamento oficial do Diretório de Comunicação do Conselho e a movimentação das chefias de missão dos 46 Estados-membros. Até lá, a postagem do ShinyHunters segue como reivindicação não verificada, e não como evento confirmado.