A McGraw Hill, gigante do setor educacional com receita anual de US$ 2,2 bilhões, confirmou o vazamento de dados de 13,5 milhões de contas após o grupo de extorsão ShinyHunters explorar uma configuração inadequada em seu ambiente Salesforce. O incidente, descoberto em abril de 2024, resultou no vazamento de mais de 100GB de dados na dark web.
Mecanismo de exploração e dados comprometidos
Os atacantes exploraram uma misconfiguration (configuração inadequada que deixa sistemas expostos) em páginas web da McGraw Hill hospedadas no Salesforce. A falha permitiu acesso não autorizado a 45 milhões de registros, dos quais 13,5 milhões continham endereços de email únicos acompanhados de nomes completos, endereços físicos, números de telefone e outras informações pessoalmente identificáveis (PII).
A Salesforce confirmou que não houve comprometimento de sua plataforma principal, indicando que a vulnerabilidade residia especificamente na configuração do ambiente do cliente. A McGraw Hill assegurou que contas Salesforce corporativas, bancos de dados de clientes, materiais de curso e sistemas internos não foram afetados. Números de Seguro Social, informações financeiras e dados estudantis também permaneceram protegidos.
Cronologia e resposta ao incidente
A McGraw Hill identificou internamente o acesso não autorizado em abril de 2024 e protegeu imediatamente as páginas web afetadas. O grupo ShinyHunters adicionou a empresa à sua lista de vítimas em seu site de vazamentos, estabelecendo 14 de abril como prazo para pagamento de resgate. Após o não pagamento, os criminosos iniciaram o vazamento público dos dados roubados.
O serviço Have I Been Pwned catalogou o incidente, permitindo que usuários verifiquem se seus dados foram comprometidos. A empresa, que registrou receita de US$ 434,2 milhões no último trimestre, não divulgou se notificou formalmente os afetados conforme exigências regulatórias.
ShinyHunters: histórico e ressurgência
O ShinyHunters é uma organização criminosa cibernética com extenso histórico de ataques contra múltiplas indústrias. Apesar de prisões de membros do grupo por agências americanas e britânicas, a organização ressurgiu em 2024 com uma série de ataques de alto perfil.
Entre os alvos recentes do grupo estão Rockstar Games (de onde roubaram analytics internos, tickets de suporte e métricas de receita), European Commission, Bumble, Match Group, Canada Goose, Universidade da Pensilvânia, Infinite Campus, Hims & Hers, Telus Digital, Wynn Resorts, CarGurus, Panera Bread e SoundCloud.
Implicações técnicas e de segurança
O incidente destaca a criticidade das configurações adequadas em ambientes cloud, especialmente em plataformas SaaS (Software as a Service) como o Salesforce. Diferentemente de vulnerabilidades tradicionais que recebem identificadores CVE e pontuações CVSS, misconfigurations representam falhas operacionais que podem expor volumes massivos de dados sem explorar falhas no código.
A ausência de comprometimento dos sistemas internos da McGraw Hill sugere que a empresa mantém segregação apropriada entre diferentes ambientes, limitando o impacto potencial da exposição. No entanto, o volume de dados pessoais vazados — incluindo informações de contato completas de 13,5 milhões de indivíduos — representa risco significativo de phishing direcionado, engenharia social e potencial violação de privacidade em escala.
O caso reforça a necessidade de auditorias regulares de configuração em todos os ambientes cloud, implementação de princípios de menor privilégio e monitoramento contínuo de exposições não intencionais de dados, especialmente em plataformas que hospedam informações de milhões de usuários do setor educacional.