Violação de Dados na Starbucks Afeta 889 Funcionários
Aprofundamento CEVIU
Aprofundamento
A Starbucks confirmou que 889 funcionários tiveram dados sensíveis expostos após uma campanha de phishing bem-sucedida contra o portal interno Partner Central. Os atacantes não exploraram falhas no sistema, mas criaram clones quase idênticos da página de login, sem MFA resistente a phishing, e capturaram credenciais diretamente dos colaboradores entre 19 de janeiro e 11 de fevereiro de 2026. O acesso persistiu por 23 dias sem detecção, tempo suficiente para extrair CPFs, datas de nascimento, números bancários e de roteamento: dados que não expiram e alimentam fraudes por anos.
A empresa respondeu com contenção técnica imediata, notificações regulatórias (incluindo ao Procurador-Geral do Maine em 12/03) e ofereceu dois anos de proteção via Experian IdentityWorks, com cobertura de US$ 1 milhão contra roubo de identidade. Diferentemente de vazamentos em massa, este foi um ataque direcionado, operacionalmente discreto e altamente eficaz, o tipo que explora o elo mais fraco da cadeia: o processo de autenticação humano, não o código.
Por que isso importa
Essa violação mostra como a ausência de MFA baseado em chave de segurança FIDO2 ou passkeys, e não apenas SMS ou app authenticator, deixa sistemas corporativos vulneráveis mesmo sem bugs técnicos. Para empresas brasileiras que lidam com CPF e dados bancários, o caso é um alerta prático: políticas de segurança devem priorizar a resistência a phishing em vez de apenas 'ter MFA'. A exposição de dados duradouros também implica riscos legais sob a LGPD, já que a falta de controle sobre credenciais internas pode configurar falha na adoção de medidas de segurança adequadas ao risco.
Perguntas frequentes
Quais dados foram comprometidos exatamente?
Nomes completos, números de CPF (SSN), datas de nascimento, números de conta bancária e números de roteamento. Não houve vazamento de senhas, cartões de crédito ou dados de clientes.
Por que o ataque demorou 23 dias para ser detectado?
Os invasores usaram credenciais válidas obtidas por phishing, acessando o sistema como usuários legítimos. Sem MFA resistente a phishing, os logs de acesso pareciam normais, não havia tentativas de brute force ou anomalias técnicas óbvias para os sistemas de detecção.
A Starbucks já teve incidentes semelhantes antes?
Não há registros públicos de ataques anteriores com esse perfil contra o Partner Central. Este é o primeiro caso documentado de comprometimento em larga escala via phishing direto às contas de funcionários da rede nos EUA.
O que os funcionários afetados devem fazer agora?
Ativar imediatamente os serviços de monitoramento oferecidos pela Starbucks, verificar extratos bancários e relatórios de crédito, e considerar o bloqueio de consultas de crédito junto aos birôs. Em casos de fraude confirmada, registrar boletim de ocorrência com base na notificação oficial da empresa.
Fontes
- securityaffairs.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 16 de março de 2026
- Editoria
- CEVIU Segurança da Informação
