CEVIU Logo
Voltar

Hacker extorque clientes de restaurantes via plataforma HungerRush

Aprofundamento CEVIU

Aprofundamento

O ataque à HungerRush não foi um simples acesso indevido a uma conta de e-mail marketing: foi uma cadeia de falhas operacionais que começou com a infecção por infostealer em outubro de 2025, quase cinco meses antes do primeiro e-mail de extorsão. Segundo Alon Gal, da Hudson Rock, o malware capturou credenciais diretamente do dispositivo de um funcionário, provavelmente via phishing ou download malicioso, e essas credenciais foram usadas para acessar sistemas internos ou ferramentas de terceiros integradas à plataforma. O fato de os e-mails de ameaça passarem pelas verificações SPF, DKIM e DMARC mostra que o invasor explorou uma integração legítima (SendGrid) com permissões excessivas, um erro comum em ambientes de marketing digital mal configurados.

A empresa nega vazamento de dados financeiros, mas admite que informações de contato de até 28 milhões de clientes e comerciantes foram acessadas e usadas para disparos em massa. Isso coloca em xeque sua postura de segurança de dados: se nomes, e-mails, telefones e endereços estão expostos em escala tão grande, o risco não é só reputacional, é de engenharia social direcionada, fraude de identidade e ataques secundários contra os próprios restaurantes clientes, muitos dos quais têm infraestrutura de pagamento precária.

Por que isso importa

Restaurantes que dependem da HungerRush não são apenas vítimas indiretas: eles são alvos de segunda ordem. Com dados de contato validados e vinculados a transações reais (como recibos digitais), criminosos podem montar campanhas de phishing altamente persuasivas, fingindo ser suporte técnico da própria plataforma ou oferecendo 'atualizações urgentes' no sistema POS. A ausência de proteção contra credential stuffing e a falta de autenticação multifator em contas de integração como SendGrid transformam ferramentas legítimas em armas de ataque. Para empresas de tecnologia para varejo, isso reforça uma lição antiga: segurança não começa no firewall, mas na gestão de identidades e no controle estrito de permissões de terceiros.

Perguntas frequentes

Meu restaurante usa HungerRush. Preciso mudar minha senha ou revogar integrações?

Sim. Revogue imediatamente qualquer token ou API key ligado ao SendGrid ou outras ferramentas de e-mail usadas pela HungerRush. Troque senhas de contas administrativas e habilite autenticação multifator em todos os acessos. Não espere confirmação da empresa, o infostealer já estava ativo desde outubro de 2025.

Os e-mails de extorsão que recebi são reais? Como verificar?

Analise os cabeçalhos completos: se o campo 'Return-Path' aponta para hungerrush.com e as assinaturas SPF/DKIM passam, o e-mail foi enviado via infraestrutura legítima da empresa, o que indica comprometimento interno, não spoofing. Não clique em links nem responda. Encaminhe o cabeçalho inteiro para seu time de segurança ou provedor de e-mail seguro.

HungerRush armazena dados de cartão de crédito? E se eu tiver usado o sistema de pagamento deles?

A empresa afirma que não armazena dados de cartão de crédito em seus servidores. Se você integrou soluções de pagamento de terceiros (como Stripe ou Square) via HungerRush, os dados sensíveis nunca passaram por ela. Mesmo assim, monitore extratos bancários e notifique seu processador de pagamentos sobre o incidente.

Posso ser processado por vazamento de dados dos meus clientes nesse caso?

Depende do seu contrato com a HungerRush e da LGPD. Como controlador de dados, você ainda tem responsabilidade pela proteção das informações dos seus clientes, mesmo quando delegada a um fornecedor. Documente todas as ações tomadas após o incidente e revise cláusulas de segurança e notificação de violação no contrato.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
06 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser