Um grupo de hackers, identificado como Arkana Security, causou alarme ao anunciar, no início de junho de 2025, a venda de supostos novos dados roubados da Ticketmaster, uma das maiores plataformas de venda de ingressos do mundo. A ação, que inicialmente sugeriu uma nova violação de segurança, foi revelada como uma tentativa de revenda de informações comprometidas durante os ataques à plataforma Snowflake em 2024, orquestrados pelo grupo ShinyHunters. A operação, que envolveu 569 GB de dados, incluindo informações pessoais e de bilhetagem, foi rapidamente retirada do site da Arkana, mas levantou preocupações sobre a persistência de dados roubados no mercado negro. O caso, amplamente discutido em fóruns da dark web, expõe a complexidade das redes de extorsão digital e a dificuldade de conter a circulação de informações sensíveis.
A Ticketmaster, que já havia confirmado a violação original em maio de 2024, não respondeu a novos questionamentos sobre a revenda. A ação da Arkana Security reacende debates sobre a segurança de dados em plataformas de nuvem e os desafios enfrentados por empresas globais. O Procon-SP, que notificou a Ticketmaster em 2024 para esclarecer possíveis impactos a consumidores brasileiros, também apontou falhas na resposta da empresa.
- Principais alvos do ataque original: Ticketmaster, Santander, AT&T e outras organizações.
- Volume de dados: 1,3 terabyte, incluindo nomes, endereços e detalhes de cartões.
- Ferramenta utilizada: RapeFlake, criada para extrair dados do Snowflake.
- Demanda dos hackers: US$ 500 mil pelo pacote de dados em 2024.
O incidente destaca a sofisticação dos grupos de hackers e a necessidade de medidas robustas de cibersegurança. A seguir, os detalhes do caso e suas implicações para a proteção de dados.
Origem do vazamento: o ataque ao Snowflake
No centro dessa história está o ataque à Snowflake, uma plataforma de armazenamento e análise de dados em nuvem, que em 2024 foi explorada pelo grupo ShinyHunters. Os criminosos utilizaram credenciais roubadas por meio de infostealers, softwares maliciosos que capturam informações de login. Com acesso às contas, os hackers extraíram grandes volumes de dados de empresas clientes da Snowflake, incluindo a Ticketmaster. A ação comprometeu informações sensíveis de 560 milhões de usuários, como nomes, endereços, números de telefone e detalhes parciais de cartões de crédito.
A ferramenta RapeFlake, mencionada em capturas de tela da Arkana Security, foi essencial para os ataques. Desenvolvida pelos criminosos, ela permitiu a extração eficiente de dados dos bancos da Snowflake. A falta de autenticação multifator em algumas contas facilitou a invasão, segundo relatórios de especialistas em cibersegurança. A Ticketmaster, uma das principais vítimas, confirmou a violação em maio de 2024 e iniciou a notificação dos clientes afetados, mas enfrentou críticas por respostas insuficientes, especialmente no Brasil.
Ação da Arkana Security: revenda ou colaboração?
A tentativa de revenda dos dados pela Arkana Security, anunciada em 6 de junho de 2025, gerou especulações sobre a relação entre esse grupo e os ShinyHunters. As capturas de tela divulgadas pela Arkana incluíam referências à ferramenta RapeFlake e nomes de arquivos idênticos aos do vazamento de 2024, indicando que não se tratava de uma nova violação. Especialistas apontam três possibilidades:
- A Arkana adquiriu os dados no mercado negro para revendê-los.
- O grupo é composto por ex-membros dos ShinyHunters, reutilizando informações já obtidas.
- Há uma colaboração direta entre os dois grupos para manter os dados em circulação.
A listagem dos dados, que prometia 569 GB de informações da Ticketmaster, foi removida do site da Arkana em 9 de junho, sugerindo que a operação pode ter sido uma tentativa de atrair compradores rapidamente. A falta de clareza sobre a origem dos dados e a rápida retirada da oferta reforçam a natureza oportunista da ação.
Histórico dos ShinyHunters
Os ShinyHunters ganharam notoriedade desde 2020, quando começaram a realizar grandes violações de dados. O grupo é conhecido por atacar empresas de diversos setores, como a AT&T, com 70 milhões de registros roubados em 2021, e a Pizza Hut, com 200 mil cadastros vazados na Austrália em 2023. A operação contra a Ticketmaster, no entanto, é considerada uma das maiores da história, devido ao volume de 1,3 terabyte de dados.
A estrutura do grupo permanece incerta, especialmente após a prisão de membros como Sebastien Raoult, condenado em 2024 a três anos de prisão nos EUA por fraude eletrônica. Alguns analistas sugerem que o nome ShinyHunters pode ser usado por diferentes atores para despistar autoridades, enquanto outros acreditam que o grupo original ainda opera com novos membros. A associação com a Arkana Security adiciona mais uma camada de complexidade a essa rede criminosa.
Resposta da Ticketmaster e críticas
Após o vazamento inicial, a Ticketmaster confirmou a violação em um comunicado à Comissão de Valores Mobiliários dos EUA, informando que detectou atividades não autorizadas em 20 de maio de 2024. A empresa afirmou que o incidente não teria impacto significativo em suas operações ou finanças, mas essa declaração foi questionada por especialistas, dado o volume de dados comprometidos.
No Brasil, o Procon-SP notificou a Ticketmaster em 31 de maio de 2024, exigindo esclarecimentos sobre a proteção de dados de consumidores brasileiros. A resposta da empresa, enviada em junho de 2024, foi considerada insatisfatória, pois não apresentou evidências de que cadastros locais não foram afetados. O órgão destacou a ausência de medidas como:
- Anonimização imediata de dados expostos.
- Exclusão de informações desnecessárias.
- Criação de um canal de atendimento para vítimas.
- Divulgação ampla de investigações internas.
A falta de transparência gerou preocupações sobre o cumprimento da Lei Geral de Proteção de Dados (LGPD), que regula o tratamento de informações pessoais no Brasil.
Funcionamento do mercado negro de dados
A revenda de dados roubados, como no caso da Arkana, reflete o funcionamento do mercado negro digital. Após um vazamento, as informações são frequentemente negociadas em fóruns da dark web, como o BreachForums, por preços que variam de milhares a milhões de dólares. No caso da Ticketmaster, os ShinyHunters pediram US$ 500 mil pelo pacote de 1,3 terabyte em 2024.
Os dados roubados podem ser usados para diferentes fins, incluindo:
- Roubo de identidade, com a criação de contas falsas.
- Fraudes financeiras, explorando detalhes de cartões de crédito.
- Campanhas de phishing direcionadas, usando informações pessoais.
- Extorsão de empresas, ameaçando vazar ou revender os dados.
A persistência dessas informações no mercado negro, mesmo após um ano, demonstra a dificuldade de eliminá-las completamente. Especialistas recomendam que empresas invistam em monitoramento contínuo para detectar a recirculação de dados roubados.
Prevenção e recomendações para usuários
Embora a responsabilidade primária pela proteção de dados recaia sobre as empresas, os usuários podem tomar medidas para minimizar riscos. Após o vazamento da Ticketmaster, a Safernet Brasil sugeriu que consumidores alterassem senhas e monitorassem atividades suspeitas em suas contas. Outras recomendações incluem:
- Usar cartões virtuais para compras online, que podem ser facilmente desativados.
- Habilitar autenticação multifator em todas as contas.
- Evitar a reutilização de senhas em diferentes plataformas.
- Notificar instituições financeiras sobre possíveis vazamentos.
Empresas, por sua vez, devem adotar práticas como criptografia avançada, auditorias regulares de segurança e treinamento contra phishing para proteger suas infraestruturas.
Outras vítimas do ataque Snowflake
Além da Ticketmaster, o ataque à Snowflake afetou diversas organizações. O Banco Santander, por exemplo, confirmou o vazamento de dados de 30 milhões de clientes no Chile, na Espanha e no Uruguai, além de informações de funcionários. Outras empresas, como AT&T e Neiman Marcus, também reportaram violações, ampliando a escala do incidente.
A Snowflake negou falhas em sua plataforma, atribuindo o problema ao comprometimento de credenciais de clientes. No entanto, a ausência de autenticação multifator em algumas contas foi um fator crítico, segundo a empresa de cibersegurança Mandiant. O caso reforça a necessidade de práticas de segurança mais rigorosas em serviços de nuvem.
Evolução das táticas de extorsão
Os grupos de hackers, como ShinyHunters e Arkana, têm diversificado suas estratégias para maximizar lucros. Além da venda de dados, eles exploram táticas como a divulgação de ingressos falsos, como os supostos bilhetes de Taylor Swift mencionados em fóruns de hackers. Essas ações buscam pressionar empresas e atrair atenção no mercado negro.
A Arkana, embora menos conhecida, parece seguir um modelo semelhante, focando na revenda de dados para construir reputação. A rápida remoção da oferta de dados da Ticketmaster sugere que o grupo pode ter enfrentado dificuldades para encontrar compradores ou optado por uma estratégia de curto prazo.
Regulamentação e resposta global
O caso da Ticketmaster também destaca a importância de regulamentações de proteção de dados. No Brasil, a LGPD estabelece diretrizes rigorosas para o tratamento de informações pessoais, mas a aplicação enfrenta desafios, especialmente em casos transnacionais. Na Europa, o Regulamento Geral de Proteção de Dados (GDPR) impõe multas significativas por violações, incentivando empresas a investirem em segurança.
Autoridades como o FBI e o governo australiano ofereceram apoio às investigações do vazamento da Ticketmaster, mas a natureza global dos ataques dificulta a repressão. A prisão de membros dos ShinyHunters mostra avanços, mas a continuidade das operações sugere que o combate ao cibercrime exige esforços coordenados.
