A onda de vazamentos de 2026: 275 milhões de registros do Canvas, a sombra do ShinyHunters e o elo fraco do SaaS

*O ano consolidou um novo mapa de ataque: a extorsão de dados deixou de mirar o servidor da empresa e passou a explorar o que está fora do perímetro — apps de terceiros conectados ao Salesforce e firewalls de borda expostos na internet.*

A lista dos piores incidentes de segurança de 2026 já compilada até aqui tem um fio condutor que vai além do tamanho dos números. Não se trata só de quantas pessoas foram afetadas, mas de *por onde* os invasores entraram. E a resposta, cada vez mais, não é a rede interna da vítima: é a cadeia de fornecedores de software e os equipamentos que ela mesma deixou voltados para fora.

O caso mais simbólico foi o da Instructure, dona do Canvas — a plataforma de ensino usada por escolas e universidades. O ShinyHunters afirmou ter roubado 275 milhões de registros de 8.809 instituições ao redor do mundo; a Instructure, que atende cerca de 30 milhões de usuários ativos, confirmou que dados pessoais — nomes, e-mails, IDs e mensagens — foram comprometidos, sem detalhar o volume total. Telas de login foram desfiguradas em múltiplas universidades — incluindo Harvard, Penn, Duke e Wisconsin — justamente no período de provas finais. Após um segundo ataque em maio, a empresa acabou pagando o resgate. Não é um detalhe menor: pagar resgate alimenta o ciclo e, na prática, valida o modelo de negócio dos extorsionistas.

A extorsão substitui a criptografia

O ransomware clássico travava seus arquivos e cobrava pela chave. A geração 2026 mudou de tática: rouba os dados primeiro e ameaça publicá-los. É a chamada *data extortion*, e o grupo ShinyHunters virou o rosto dessa abordagem. A ele são atribuídos golpes contra a Charter (cerca de 4,9 milhões de registros), a operadora de cruzeiros Carnival (ao menos 6 milhões de clientes), além de instituições como Harvard e UPenn e a fintech Figure.

A lógica é financeira: criptografar exige malware sofisticado e dá à vítima a chance de restaurar backups. Roubar e chantagear exige apenas acesso — e o constrangimento público faz o trabalho de pressão. Por isso o alvo migrou para onde o acesso é mais barato.

O elo fraco mora no SaaS de terceiros

É aqui que entra a parte mais relevante para qualquer empresa que rode em nuvem. Em vez de arrombar o CRM diretamente, os atacantes passaram a abusar de apps conectados — integrações de terceiros que já têm permissão para ler dados do Salesforce e de outras plataformas. Comprometer um conector (caso de ferramentas como o Klue, ligadas ao ecossistema Salesforce) pode abrir as portas de dezenas de clientes de uma só vez, sem nunca tocar no login da vítima principal.

O padrão se repetiu na cadeia de software: ferramentas de desenvolvimento e segurança comprometidas acabaram respingando em nomes grandes a jusante. O perímetro deixou de ser uma parede — virou uma teia de confianças delegadas, e cada token de integração é uma chave esquecida na fechadura.

Dispositivos de borda: a porta que ficou aberta

O terceiro vetor é o mais antigo e o mais teimoso: equipamentos de rede expostos. Dezenas de milhares de firewalls FortiGate apareceram acessíveis na internet pública em 2026 (relatos apontam cerca de 75 mil, número a confirmar), oferecendo superfície direta para exploração de falhas. Um aparelho de borda comprometido não é um arquivo a menos — é um corredor para dentro de tudo.

O recado de 2026 é desconfortável e claro: o inventário de risco não termina no firewall da empresa. Ele inclui cada app que você autorizou a ler seus dados e cada caixa que você deixou respondendo na porta de fora. Auditar integrações e fechar a borda deixou de ser higiene — virou sobrevivência.

Fontes

• TechCrunch — "The worst hacks and breaches of 2026 so far": https://techcrunch.com/2026/06/07/the-worst-hacks-and-breaches-of-2026-so-far/
• Breachsense — Recent Data Breaches: https://www.breachsense.com/breaches/
• The Hacker News: https://thehackernews.com/