A Qantas, principal companhia aérea da Austrália, confirmou na última semana, que aproximadamente seis milhões de registros de clientes foram acessados sem autorização em um ataque cibernético direcionado a uma plataforma gerida por terceiros, usada por um call center localizado nas Filipinas. A invasão ocorreu por meio de um golpe sofisticado de “vishing” (phishing por voz), em que um hacker se passou por funcionário da empresa – prática atribuída ao grupo especializado “Scattered Spider”.
Os dados comprometidos incluem nomes, endereços de e-mail, números de telefone, datas de nascimento e números do programa de fidelidade Frequent Flyer. Apesar disso, informações sensíveis como dados de cartão de crédito, passaporte, PINs, senhas e credenciais não estavam armazenadas na plataforma e não foram expostas. A Qantas reforçou que os sistemas centrais da companhia não foram afetados e que a operação de voos segue normalmente.
A revelação do incidente levou a uma queda imediata de cerca de 2–3,5% nas ações da Qantas na Bolsa de Valores da Austrália. O CEO Vanessa Hudson se desculpou oficialmente, declarou que o caso estava sob investigação com órgãos como o Australian Cyber Security Centre, a Polícia Federal Australiana e a Oficina de Informação da Austrália, e anunciou medidas intensificadas de segurança. A empresa passou a contatar diretamente os clientes afetados via e-mail e também implantou uma linha telefônica específica para suporte.
Quais os impactos desse vazamento?
Apesar de não haver exposição de dados financeiros, os registros obtidos são considerados valiosos para atividades maliciosas como phishing, engenharia social e tentativas de fraude – em especial, usando informações pessoais combinadas com números de fidelidade. Especialistas alertam que esse tipo de dado, mesmo aparentemente simples, pode custar dezenas de dólares no mercado negro, fornecendo insumos para campanhas de golpe mais sofisticadas.
O risco também abrange ouvidoria a outras contas do cliente: endereços de e-mail, nome e telefone são precisamente o que bancos, redes sociais e provedores pedem para recuperar senhas ou tentar acesso não autorizado . Usuários com contas Frequent Flyer devem ficar atentos a atividades irregulares, mesmo sem vazamento direto de senhas.
A companhia recomenda que os clientes estejam vigilantes quanto a contatos não solicitados, evitem clicar em links suspeitos e utilizem senhas fortes, exclusivas e autenticação em duas etapas. Foram emitidas orientações para que quem utiliza autenticação por SMS migre para app de verificação e monitorar extratos bancários e saldo de pontos.
Esse evento segue uma série de grandes incidentes na Austrália — incluindo os ciberataques à Optus, Medibank e Latitude Financial em 2022, que expuseram milhões de dados sensíveis. O caso da Qantas se destaca por atingir uma companhia global, e por explorar vulnerabilidades em fornecedores terceirizados, um risco crescente para organizações com cadeias de TI complexas.
Globalmente, ataques a plataformas de call center não são novidade, mas o uso do “vishing” em cadeia com fornecedores mostra um cenário de ataque híbrido onde fatores humanos são explorados tanto quanto brechas técnicas.
A Qantas ainda pondera oferecer compensações aos clientes afetados. O regulador australiano de privacidade pode impor sanções com base no Privacy Act se for constatada negligência na contratação ou fiscalização dos fornecedores. Também há discussões em curso sobre a necessidade de revisão da lei para endurecer punições a empresas que terceirizam atendimento sem garantir protocolos de segurança adequados .
O vazamento de dados da Qantas revela a vulnerabilidade crítica de sistemas terceirizados e destaca a urgência de estratégias robustas de cibersegurança que incluam fornecedores. Embora não haja evidência de comprometimento financeiro imediato, o volume e a natureza dos dados expostos representam um risco considerável ao cliente — e a reputação da empresa. Resta agora observar se a investigação resultará em sanções regulatórias, compensações e mudanças práticas nos contratos de terceirização para evitar novos incidentes.