INTRODUÇÃO: A Agência de Cibersegurança da União Europeia (CERT-EU) confirmou nesta quinta-feira que o vazamento massivo de dados da Comissão Europeia foi obra do grupo cibercriminoso TeamPCP. O incidente, que resultou no roubo de aproximadamente 92 gigabytes de dados comprimidos, expôs informações pessoais de funcionários e o conteúdo de e-mails internos, afetando a infraestrutura em nuvem da plataforma Europa.eu.
DESENVOLVIMENTO: O ataque teve origem em 19 de março, quando hackers obtiveram uma chave de API secreta associada à conta da Amazon Web Services (AWS) da Comissão Europeia. Essa brecha foi possível após um ataque anterior à ferramenta de segurança de código aberto Trivy, que a Comissão inadvertidamente baixou em sua versão comprometida. Com a chave em mãos, os invasores acessaram dados armazenados na conta AWS, incluindo informações de pelo menos 29 outras entidades da UE. Posteriormente, o grupo notório ShinyHunters vazou os dados online, em uma rara atribuição de dois grupos distintos para o mesmo incidente.
CONCLUSÃO: Este caso evidencia uma vulnerabilidade crítica na cadeia de suprimentos de software, onde até ferramentas de segurança podem se tornar vetores de ataque. A dependência de soluções de código aberto sem verificação rigorosa expôs dados sensíveis de instituições europeias, exigindo revisões urgentes nos protocolos de segurança digital da UE.
