O Conselho da Europa, a mais antiga organização de direitos humanos do continente (46 estados-membros, fundada em 1949), foi alvo de um ciberataque de grandes dimensões. O grupo de extorsão ShinyHunters reivindicou a autoria do ataque a 14 de Junho, afirmando ter roubado cerca de 297 GB de dados confidenciais da instituição com sede em Estrasburgo, França.
Após o Conselho da Europa não ter respondido ao prazo de resgate, que expirou a 16 de Junho, o grupo criminoso cumpriu a ameaça e publicou os dados online a 21 de Junho, tornando-os permanentemente acessíveis através de uma rede de mirrors e torrents — impossibilitando qualquer remoção forçada.
O que foi roubado: 15 anos de história institucional
O volume de dados exfiltrados é impressionante: mais de 429.000 ficheiros, incluindo 409.000 recibos de vencimento de mais de 10.000 funcionários, cobrindo o período de 2011 a 2026. Além disso, o arquivo contém mais de 14.000 CVs, cerca de 3.700 processos individuais de recursos humanos, e milhares de documentos de vários departamentos — o Secretariado, a Direção de RH, a Assembleia Parlamentar e a Direção Europeia para a Qualidade dos Medicamentos e Cuidados de Saúde.
Os dados pessoais expostos incluem nomes, datas de nascimento, moradas, números de telefone, identificadores de funcionário, salários, dados bancários, informações fiscais e de segurança social, e registos médicos. O arquivo contém ainda registos operacionais internos, como escalas de intérpretes, tabelas salariais de 2026, relatórios de ausências e avaliações de desempenho.
A vulnerabilidade que abriu a porta: CVE-2026-35273
A cibersegurança das organizações internacionais está sob pressão crescente — o ataque ao Conselho da Europa é o mais recente exemplo de uma vaga de intrusões que explora vulnerabilidades em software empresarial crítico.
O ataque foi possível graças à exploração de uma vulnerabilidade crítica no Oracle PeopleSoft, classificada como CVE-2026-35273, com uma pontuação de 9,8 em 10 na escala CVSS. A falha reside no componente PSEMHUB (Environment Management Hub) e não requer qualquer autenticação — um atacante com acesso à rede a um endpoint exposto pode executar código arbitrário no servidor.
De acordo com a Mandiant, a unidade de inteligência de ameaças da Google, a vulnerabilidade foi ativamente explorada em mais de 100 organizações a nível global entre 27 de Maio e 9 de Junho, antes de a Oracle ter publicado qualquer aviso ou mitigação. O ShinyHunters descreve o ataque como uma 'gadget chain' — uma técnica que combina a CVE-2026-35273 com vulnerabilidades mais antigas para obter controlo total do servidor.
Os atacantes operaram inteiramente dentro da lógica de aplicação do PeopleSoft. Para a camada de aplicação, o acesso era indistinguível de um utilizador legítimo autorizado — uma restrição ao nível do design que tornou a deteção convencional de anomalias ineficaz durante a janela de ataque.
— Mandiant / Google Threat Intelligence
Os dados já estão online — e não vão sair
O Conselho da Europa confirmou estar a investigar o incidente, mas não apresentou qualquer plano de notificação para os mais de 10.000 funcionários atuais e antigos, prestadores de serviços e candidatos cujos dados bancários, registos médicos, históricos salariais e números de segurança social estão agora irrevogavelmente online.
A combinação de dados financeiros, médicos e de identificação num único arquivo cria condições ideais para fraudes de alta precisão a longo prazo. Como notaram investigadores da Cybernews, o volume e a especificidade dos dados permitem a construção de perfis de vítima extremamente detalhados — viabilizando phishing dirigido, roubo de identidade, fraude financeira e até chantagem.
ShinyHunters: um grupo em escalada
Desde meados de 2025 que o ShinyHunters tem sido associado a múltiplas intrusões de alto perfil, visando sobretudo clientes da Salesforce, incluindo a Carnival, Canvas, Grafana, CarGurus e Panera Bread. O ataque ao Conselho da Europa representa, no entanto, uma escalada significativa — não apenas pelo volume de dados, mas pelo alvo: uma instituição fundadora da arquitetura de direitos humanos e democracia na Europa.
Este incidente sublinha a vulnerabilidade das organizações internacionais e governamentais que dependem de software empresarial, e a dificuldade de detetar ataques que operam dentro da lógica legítima das aplicações — um desafio que promete marcar a cibersegurança em 2026.
O caso levanta ainda questões sobre a responsabilidade dos fornecedores de software na divulgação atempada de vulnerabilidades críticas. A Oracle não emitiu qualquer comunicado durante as duas semanas em que a CVE-2026-35273 foi ativamente explorada — um silêncio que pode ter custado caro a mais de 100 organizações em todo o mundo.
💬 Comentários
Nenhum comentário ainda. Sê o primeiro a comentar!