Na noite de 21 de janeiro, o assistente fiscal Waltio foi vítima de uma fuga de dados, rapidamente seguida de uma tentativa de extorsão atribuída ao grupo de hackers «Shiny Hunters». De acordo com as primeiras informações, cerca de 50 000 utilizadores poderão estar afetados, enquanto as autoridades francesas abriram uma investigação. Até que ponto a centralização de dados sensíveis é justificável quando se torna uma alavanca privilegiada para os cibercriminosos?
Os «Shiny Hunters» por trás da extorsão relacionada com a fuga de dados da Waltio
Na noite de 21 de janeiro, o assistente fiscal Waltio indicou ter sido informado de uma fuga de dados. As autoridades francesas tomaram conhecimento do caso e iniciaram investigações para determinar a natureza dos dados roubados e identificar as vítimas.
Através de um comunicado de imprensa publicado por Pierre Morizot, CEO da Waltio, ficamos a saber que a plataforma foi atacada por um agente malicioso e que este forneceu uma amostra que permite verificar a autenticidade da sua ameaça.
De acordo com uma reportagem do jornal Le Parisien, o famoso grupo de hackers «Shiny Hunters» estaria por trás deste ataque. Estes afirmam ter na sua posse os dados pessoais de cerca de 50 000 clientes (1/3 dos utilizadores), a maioria dos quais se encontra na França metropolitana.
Ao que parece, o adversário contactou a empresa Waltio e exige um resgate. Assim que esta mensagem foi recebida, foram acionados os procedimentos de gestão de incidentes. A empresa explica ter contratado especialistas externos para «analisar a situação com o mais alto nível de exigência».
De facto, num comunicado, a secção de combate à cibercriminalidade (J3) do Ministério Público de Paris anuncia ter confiado a investigação à Unidade Nacional de Cibersegurança da Gendarmerie Nacional (UNCyber).
Declaração conjunta do Ministério Público de Paris e da Unidade Cibernética da Gendarmerie no site Cybermalveillance
Segundo a Waltio, os primeiros elementos da investigação indicam que a intrusão já não está ativa e que todos os serviços da plataforma funcionam normalmente.
No que diz respeito aos dados afetados, o âmbito limita-se à «geração de relatórios fiscais de 2024, com data de 31/12/2024», ainda de acordo com o comunicado. É assim possível recuperar o endereço de e-mail do utilizador, bem como os dados provenientes dos relatórios (ganhos, perdas, saldos).
Pela sua natureza, o assistente fiscal da Waltio agrega os dados das suas contas nas plataformas de câmbio para os analisar e, em seguida, calcular o montante das suas mais-valias tributáveis.
Pierre Morizot esclarece, no entanto, para tranquilizar os utilizadores, «que nenhum dado que permita aceder aos seus criptoativos está comprometido». Além disso, recorda que a plataforma não requer qualquer informação relativa à sua identidade (nome próprio, apelido, morada postal, número de telefone, data de nascimento).
A empresa explica que prossegue as investigações, realizando uma revisão completa do histórico do seu Sistema Informático (SI). Será enviada uma comunicação direta aos utilizadores potencialmente afetados, acompanhada de recomendações «claras e operacionais».
Além disso, a Waltio anuncia estar empenhada e a prosseguir com a notificação do incidente à CNIL, tendo apresentado queixa, por intermédio do seu advogado, o Dr. Romain Chilly, junto da secção J3 do Ministério Público de Paris.
O principal risco: os ataques de engenharia social
Conforme especificado no comunicado, o principal risco com este tipo de fugas de dados não é o roubo técnico de fundos. Os atacantes preferirão explorar elementos contextuais para visar as vítimas com phishing ou tentativas de burla.
Estes últimos utilizarão vários vieses cognitivos para o colocar numa situação de stress e levá-lo a cometer um erro:
- incitamento a reagir rapidamente;
- ameaça de perda financeira;
- usurpação de uma figura legítima;
- medo das consequências negativas;
- pressão social…
Recomendações para detentores de criptomoedas, disponíveis no site Cybermalveillance
É, portanto, particularmente importante identificar claramente o seu interlocutor. Pode verificar a autenticidade de um e-mail da Waltio através do código de segurança presente na parte inferior dos e-mails de marketing enviados. Verifique se corresponde aos códigos presentes na sua conta, recomenda a Waltio.
É importante lembrar, além disso, que a empresa não possui o seu número de telefone nem a sua morada postal, pelo que não receberá chamadas, SMS ou correspondência da parte deles.
Este acontecimento contribui para reforçar o clima de medo entre os detentores de criptomoedas no território francês. Nos últimos tempos, os casos de raptos, sequestros e ameaças não param de fazer as manchetes das notícias.
A centralização de informações sensíveis cria um reservatório único de dados e constitui um ponto de vulnerabilidade importante. A lista particularmente longa de fugas de dados (incluindo um certo número de organismos públicos) registadas pelo site bonjourlafuite para o ano de 2025 questiona a legitimidade de certos serviços acederem a este tipo de dados.
Como explica a Adan, esta recolha tem frequentemente origem em exigências regulamentares; convém rever a dimensão substancial do tratamento destes dados para não criar novas áreas de vulnerabilidade.
A Adan observa com grande preocupação a multiplicação, desde o início do ano de 2026, de atos de violência graves dirigidos a investidores e intervenientes no setor dos criptoativos em França. Estes factos exigem uma resposta das autoridades públicas à altura dos…
— Adan (@adan_asso) 23 de janeiro de 2026
Independentemente das proteções atribuídas a um SI, este estará sempre vulnerável. Assim, para reduzir a superfície de ataque, a única solução parece ser a minimização dos dados: zero dados, zero fugas.
