CrowdStrike demite funcionário que teria passado informações para hackers

Siga o Olhar Digital no Google Discover

A CrowdStrike confirmou a demissão de um funcionário que teria repassado capturas de tela internas ao grupo Scattered Lapsus$ Hunters. O episódio reacende a discussão sobre o quanto até grandes empresas de cibersegurança seguem vulneráveis a riscos que não vêm de fora, mas de dentro da própria estrutura.

As imagens vazadas mostravam painéis internos usados pela companhia. Assim que o material começou a circular, a CrowdStrike bloqueou o acesso do funcionário e acionou as autoridades, segundo matéria do The Tech Buzz.

*Imagens internas da CrowdStrike vazaram online, expondo painéis usados por funcionários e reacendendo o alerta sobre ameaças vindas de dentro. Imagem: janews/Shutterstock*

Como o vazamento aconteceu

O caso ganhou repercussão depois que o grupo hacker divulgou, em seu canal no Telegram, capturas de tela exibindo painéis da CrowdStrike — entre eles, acessos ao Okta utilizados por funcionários. Não é o tipo de credencial que costuma cair nas mãos de atacantes externos, o que levantou suspeitas imediatas sobre um possível responsável interno.

Nossos sistemas nunca foram comprometidos e os clientes permaneceram protegidos durante todo o período.
Kevin Benacci, porta-voz da CrowdStrike, ao TechCrunch.

O timing também não ajudou a empresa. O incidente surge poucos meses depois da falha global no Windows provocada por uma atualização malsucedida da própria CrowdStrike — um erro de impacto mundial que deixou a reputação da companhia sob intenso escrutínio.

*Quando o agressor tem acesso interno, sistemas de defesa perdem eficácia — um dos motivos que tornam esses incidentes tão desafiadores. Imagem: Andrii Yalanskyi/Shutterstock*

Hackers exploram cadeia de fornecedores e falhas humanas

O grupo Scattered Lapsus$ Hunters afirmava, inicialmente, que o ataque teria se aproveitado da violação recente na Gainsight — onde informações de relacionamento com clientes foram expostas. A investigação interna, porém, aponta um cenário muito menos elaborado: as capturas teriam sido fornecidas pelo próprio funcionário.

O coletivo reúne integrantes de grupos como ShinyHunters, Scattered Spider e Lapsus$, conhecidos por manipular funcionários e obter acessos internos por engenharia social. Eles já atingiram bases de dados de grande porte — incluindo informações associadas a clientes da Salesforce — e, em outubro, ataques relacionados ao grupo afetaram empresas como Allianz Life, Qantas, Stellantis, TransUnion e Workday. Esses episódios reforçam como uma única brecha pode se espalhar por redes inteiras de fornecedores.

Por que ameaças internas são tão difíceis de combater

Especialistas lembram que incidentes desse tipo continuam entre os mais desafiadores para detectar ou bloquear. Quando o acesso privilegiado já está nas mãos do autor do ataque, os sistemas de defesa perdem boa parte da força.

Leia mais:

“Você pode construir a defesa perimetral mais robusta do mundo, mas se alguém de dentro decidir tirar screenshots, todos esses controles se tornam irrelevantes”, afirma um ex-analista da NSA.

Esse tipo de caso também reacende dúvidas entre clientes da CrowdStrike sobre como monitorar permissões internas e quais mecanismos realmente funcionam quando o risco está no comportamento humano — e não em uma falha técnica.

*Especialistas ressaltam a importância de revisar processos internos e reforçar checagens de funcionários para reduzir riscos internos. Imagem: Lazy_Bear/ Shutterstock*

O que este caso ensina

O episódio reforça a necessidade de revisar processos internos e a checagem de funcionários em empresas do setor. Mesmo com ferramentas avançadas, o fator humano continua sendo, muitas vezes, o ponto mais vulnerável de toda a cadeia.

Pontos centrais desse alerta incluem:

Mesmo gigantes da área continuam expostas a ameaças internas.
Engenharia social permanece entre as táticas preferidas de grupos hackers.
Acesso legítimo enfraquece significativamente defesas tradicionais.
Cadeias de fornecedores ampliam o alcance e a complexidade dos ataques.

A investigação policial segue em andamento. A CrowdStrike não divulgou o nome do funcionário nem novos detalhes. Casos envolvendo agentes internos, além disso, costumam ser difíceis de levar adiante — em especial devido às nuances de intenção e às permissões que a pessoa já possuía.

O episódio mostra que, mesmo com tecnologias sofisticadas e uso crescente de IA em sistemas de defesa, o elo humano continua sendo o mais frágil. Dependendo do desfecho da investigação, o caso pode influenciar futuras regras para lidar com ameaças internas e ampliar a pressão por mais transparência no setor.