A segurança sempre foi um dos pilares mais sensíveis do ecossistema de criptomoedas, especialmente quando envolve grandes exchanges centralizadas. Em dezembro de 2025, a Coinbase confirmou um novo incidente de segurança que, apesar de ter afetado um número reduzido de usuários, levantou preocupações sérias sobre o modelo de acesso interno e o papel de empresas terceirizadas. Cerca de 30 contas tiveram informações acessadas indevidamente, mas o método utilizado chama mais atenção do que o impacto numérico, reforçando que o maior risco atual pode não estar em falhas técnicas, e sim em pessoas com acesso legítimo aos sistemas.
O que aconteceu: o novo incidente de dezembro de 2025
De acordo com a própria Coinbase, o incidente ocorreu quando um contratado terceirizado utilizou ferramentas internas de suporte para acessar dados de clientes sem autorização. As informações envolvidas incluíam dados pessoais básicos, histórico de contato com o suporte e detalhes limitados de transações, sem exposição de senhas, chaves privadas ou fundos diretamente.
A empresa afirmou que o acesso indevido foi rapidamente identificado, o contrato foi encerrado e os usuários impactados receberam notificações e orientações de segurança. Esse episódio, no entanto, não deve ser confundido com o caso muito mais amplo revelado em janeiro de 2025, quando funcionários ligados à TaskUs, um conhecido BPO, foram subornados para facilitar o acesso a dados em larga escala, culminando em tentativas de extorsão milionárias.
A diferença entre os dois casos é clara. Enquanto o incidente de janeiro expôs fragilidades estruturais em operações terceirizadas de grande porte, o evento de dezembro mostra que mesmo episódios pontuais continuam possíveis, indicando que o problema não foi totalmente resolvido.
O surgimento dos Scattered Lapsus Hunters
Paralelamente a esses episódios, um nome passou a circular com mais frequência em fóruns e canais clandestinos: Scattered Lapsus Hunters. Esse grupo é descrito por analistas como uma espécie de supergrupo, reunindo membros ou técnicas associadas a Scattered Spider, Lapsus$ e ShinyHunters, três coletivos já conhecidos por ataques de alto impacto e ampla visibilidade.
O diferencial desse grupo está menos na sofisticação técnica e mais na exposição pública. Eles utilizam plataformas como o Telegram para divulgar capturas de tela, fragmentos de bases de dados e acessos internos, muitas vezes apagando as postagens pouco depois. Esse comportamento sugere uma estratégia focada em reputação criminosa, intimidação e validação entre pares, dificultando investigações e atribuições formais.
Embora não exista confirmação oficial de envolvimento direto desse grupo específico no incidente de dezembro, a circulação de imagens de ferramentas internas da Coinbase em canais associados a eles reforça a preocupação com vazamentos explorados como troféus digitais.
Por que os BPOs são o novo alvo favorito dos hackers
Empresas de BPO (Business Process Outsourcing) tornaram-se peças centrais na operação de grandes plataformas digitais. Elas lidam com suporte ao cliente, moderação, análise de contas e processos de verificação, o que exige acesso privilegiado a sistemas sensíveis. Esse cenário cria um alvo perfeito para atacantes que preferem caminhos indiretos, porém mais eficientes.
Em vez de explorar vulnerabilidades complexas em infraestrutura, muitos grupos optam por subornar funcionários, enganar agentes via engenharia social ou explorar falhas de controle interno. Técnicas como vishing, em que ligações convincentes simulam demandas urgentes de gestores ou equipes técnicas, têm sido usadas com sucesso para ampliar acessos.
Além disso, funcionários terceirizados nem sempre recebem o mesmo nível de treinamento, monitoramento e incentivos de segurança que equipes internas, o que aumenta o risco de abuso ou erro humano.
O perigo do acesso às ferramentas de suporte
Ferramentas internas de suporte são projetadas para ajudar usuários rapidamente, mas isso implica alto nível de visibilidade. Em incidentes recentes, capturas de tela indicam que esses painéis permitem visualizar saldos, histórico de transações, status de contas e documentos de KYC.
Mesmo sem acesso direto a credenciais críticas, esse conjunto de informações é extremamente valioso para criminosos. Com ele, é possível criar golpes altamente personalizados, convencer vítimas de que um contato fraudulento é legítimo e até comprometer contas em outros serviços usando dados reais como prova de autenticidade.
Como se proteger em um cenário de ameaças internas
Diante desse contexto, a proteção precisa ser compartilhada entre usuários e empresas.
Para usuários de criptomoedas, algumas medidas são essenciais. O uso de autenticação multifator baseada em hardware reduz drasticamente o risco de comprometimento de contas. Também é fundamental desconfiar de qualquer contato que se apresente como suporte e solicite códigos, aprovações ou ações urgentes fora dos canais oficiais.
Para empresas e BPOs, o foco deve estar na limitação de privilégios, na segmentação de acessos e no monitoramento contínuo. Adoção de políticas de confiança zero, auditorias frequentes e treinamentos constantes contra engenharia social são passos indispensáveis. Quanto menor e mais controlado for o acesso às ferramentas sensíveis, menor será o impacto de um eventual abuso interno.
Conclusão
O incidente de dezembro de 2025 mostra que, mesmo quando o impacto imediato parece limitado, os sinais estruturais são preocupantes. A dependência crescente de terceirização e o valor dos dados mantidos por plataformas de criptomoedas colocam as ameaças internas no centro do debate sobre segurança digital.
O futuro da proteção em ambientes de nuvem e suporte passa menos por firewalls tradicionais e mais por governança de acessos, cultura de segurança e vigilância constante. Para os usuários, fica a reflexão: até que ponto é possível confiar em exchanges centralizadas quando o elo mais fraco pode estar fora do alcance direto da empresa?