No dia 26 de abril de 2026, o grupo de extorsão ShinyHunters publicou na dark web um banco de dados contendo informações pessoais, profissionais e financeiras de 1,4 milhão de usuários da Udemy. A publicação ocorreu após a plataforma de cursos online ignorar o prazo de pagamento do resgate exigido pelos invasores, que vencia em 27 de abril. O vazamento já foi validado pelo serviço Have I Been Pwned (HIBP).

O dossiê completo

A lista de informações expostas inclui nomes completos, endereços físicos, telefones, e-mails, cargos, CPF, CNPJ e os métodos de pagamento utilizados por instrutores. É o tipo de dossiê completo que faria um operador de mainframe dos anos 1960 suar frio. Naquela época, quando instituições financeiras em São Paulo ou Nova York processavam a compensação de cartões em fitas magnéticas usando COBOL, a segurança da informação envolvia trancar a fita em um cofre de aço. Hoje, a porta do cofre é digital, e os invasores acabam de mostrar que têm as chaves.

A estratégia da extorsão

O ShinyHunters justificou a ação com uma mensagem direta: "Mais de 1,4 milhão de registros com dados pessoais e informações corporativas internas foram comprometidos. Pague ou vazamos. A empresa falhou em chegar a um acordo conosco apesar de toda a nossa paciência". Dizem que a paciência é uma virtude, mas acho que isso não se aplica quando a pessoa está te chantageando.

Esse grupo acumulou um histórico de invasões em massa nos últimos anos, mirando desde a gigante de CRM Salesforce até aplicativos de relacionamento como o Tinder e o Hinge. Para quem não é da área, vamos desbugar o termo: esse tipo de ataque é conhecido como Extorsão de Dados. Ao contrário do ransomware clássico, que criptografa os arquivos da empresa e trava o sistema, aqui os criminosos apenas copiam o banco de dados em silêncio e cobram para não vazar as informações na internet.

Sistemas abertos e exposição contínua

Em meus 15 anos acompanhando infraestruturas que sustentam o mundo real, noto uma diferença clara na superfície de ataque. Sistemas legados bancários sobrevivem há décadas porque operam em redes isoladas e rodam em linguagens que poucos criminosos modernos sabem decifrar. Plataformas como a Udemy, por outro lado, nasceram para a web aberta. O custo dessa acessibilidade é a exposição constante.

A análise do HIBP apontou que 56% dos e-mails presentes no vazamento da Udemy já apareciam em outras violações de dados. A matemática explica o estrago: o invasor coleta senhas antigas em fóruns, cria scripts automatizados para testar essas combinações no login da Udemy e raspa as contas que abrirem. O roubo de uma credencial hoje vira o vazamento da próxima semana.

Caixa de Ferramentas

A Udemy não respondeu aos contatos da imprensa até a publicação deste texto. Você não precisa esperar uma nota de esclarecimento para agir. Siga este roteiro prático:

  1. Troque a senha da Udemy: Faça isso agora. Se usar a mesma senha em outro site, mude lá também.
  2. Acesse o Have I Been Pwned: Digite seu e-mail para conferir se seus dados constam no arquivo do ShinyHunters.
  3. Monitore transações: Se você atua como instrutor, observe os lançamentos na sua conta bancária nos próximos dias.
  4. Adote um gerenciador de senhas: Senha repetida é convite para invasão. Cada serviço exige uma credencial única.

A internet não tem piedade de quem repete senhas. Gerencie suas credenciais com a mesma disciplina que um banco de Londres gerencia uma rotina de liquidação financeira. Sem brechas.