Orlando, EUA — InkDesign News — Em 2024, dois ataques cibernéticos significativos atingiram a The Walt Disney Company, envolvendo um ex-funcionário insatisfeito e um hacker externo que explorou vulnerabilidades por meio de engenharia social e malware, resultando no vazamento de 1,1 TB de dados sensíveis e exposição da infraestrutura interna.
Incidente e vulnerabilidade
Um dos ataques foi conduzido por Michael Scheuer, ex-gerente de produção de menus do Walt Disney World, que após sua demissão em junho de 2024 acessou ilegalmente o sistema interno de criação de menus para restaurantes do parque. Scheuer modificou registros para, entre outras ações, “enganosamente rotular itens alimentares contendo amendoim como ‘sem amendoim’” (“falsely labelling food items containing peanuts as ‘peanut-free’”), afetando diretamente a segurança de portadores de alergias. Além disso, alterou nomes de regiões vinícolas, inseriu linguagem ofensiva, substituiu QR codes por links a sites de boicote político e trocou fontes por Wingdings, comprometendo a usabilidade do sistema. O exploit se deu a partir do uso continuado de um intervalo de IP de VPN associado a ele, que deveria ter sido desativado.
O segundo ataque, executado por Ryan Mitchell Kramer, também em 2024, ocorreu via distribuição de uma extensão falsa para geração de imagens por IA, chamada ComfyUI_LLMVISION, hospedada no GitHub. Esta extensão maliciosa coletava senhas e dados de pagamento, enviando para um servidor Discord controlado por Kramer. O malware utilizava nomes associados a empresas notórias de IA como OpenAI e Anthropic para camuflagem. Tal vetor permitiu seu acesso a canais privados do Slack da Disney, culminando na exfiltração de 1,1 terabytes de dados confidenciais até maio de 2024.
Impacto e resposta
As ações de Scheuer paralelamente incluíram tentativas automatizadas de login em ao menos 14 contas de funcionários, bloqueando seu acesso laboral. Um diretório “dox” contendo dados pessoais de suas vítimas evidenciava intenção de intimidação. Scheuer foi preso em outubro de 2024, declarou culpa e recebeu sentença de três anos, junto a reparação financeira de quase US$ 688.000.
Kramer, por sua vez, vazou publicamente informações bancárias, médicas e outras privadas dos funcionários após não obter resposta a suas demandas. Processos judiciais indicam que pelo menos outros dois usuários foram vítimas de seu malware, ampliando o comprometimento. A empresa detectou as modificações nos menus antes de afetarem clientes e respondeu com medidas legais contra os envolvidos.
“As mudanças ilegítimas poderiam ter consequências fatais para pessoas alérgicas a amendoim.”
(“These illegitimate changes could have had life-threatening consequences for individuals with peanut allergies.”)— Especialista em Segurança Cibernética
“A instalação da extensão maliciosa expôs sistemas internos críticos, exigindo revisão urgente dos protocolos de segurança.”
(“The installation of the malicious extension exposed critical internal systems, requiring urgent review of security protocols.”)— Analista de Resposta a Incidentes
Mitigações recomendadas
Recomenda-se a implementação imediata de controles rigorosos de acesso com desativação eficaz de credenciais após desligamento ou desligamento de colaboradores. Além disso, monitoramento contínuo de atividades em redes e sistemas de autenticação devem ser reforçados para impedir acessos não autorizados. Programas de treinamento para identificação de vulnerabilidades em extensões de software e prevenção contra engenharia social são essenciais para a mitigação de riscos similares.
Atualizações de segurança (patches) para sistemas internos devem ser aplicadas para garantir proteção contra exploits conhecidos, enquanto auditorias regulares de permissões e integridade dos dados são recomendadas para manter a resiliência do ambiente.
Esse caso evidencia a necessidade de uma estratégia integrada de segurança, combinando tecnologia, processos e conscientização humana para reduzir a superfície de ataque de organizações complexas.
Fonte: (Hack Read – Segurança Cibernética)
