Na noite de 21 de janeiro, o assistente fiscal Waltio foi vítima de uma fuga de dados, rapidamente seguida por uma tentativa de extorsão atribuída ao grupo de hackers «Shiny Hunters». De acordo com as primeiras informações, cerca de 50 000 utilizadores podem ter sido afetados, enquanto as autoridades francesas abriram uma investigação. Até que ponto a centralização de dados sensíveis é justificável quando se torna uma alavanca privilegiada para os cibercriminosos?
Os «Shiny Hunters» por trás da extorsão relacionada com a fuga de dados da Waltio
Na noite de 21 de janeiro, o assistente fiscal Waltio informou ter sido notificado de uma fuga de dados. As autoridades francesas tomaram conhecimento do caso e iniciaram investigações para determinar a natureza dos dados roubados e identificar as vítimas.
Através de um comunicado de imprensa publicado por Pierre Morizot, CEO da Waltio, ficamos a saber que a plataforma foi atacada por um agente malicioso e que este forneceu uma amostra para verificar a autenticidade do seu crime.
De acordo com uma reportagem do jornal Le Parisien, o famoso grupo de hackers «Shiny Hunters» estaria por trás desse ataque. Eles afirmam ter em sua posse os dados pessoais de cerca de 50 000 clientes (1/3 dos utilizadores), a maioria dos quais na França metropolitana.
Parece que o adversário entrou em contacto com a empresa Waltio e está a exigir um resgate. Assim que a mensagem foi recebida, foram iniciados os procedimentos de gestão de incidentes. A empresa explica que contratou especialistas externos para «analisar a situação com o mais alto nível de exigência».
De facto, num comunicado, a secção de combate à cibercriminalidade (J3) do Ministério Público de Paris anunciou ter confiado a investigação à Unidade Nacional Cibernética da Gendarmerie Nationale (UNCyber).
Segundo Waltio, os primeiros elementos da investigação mostram que a intrusão já não está ativa e que todos os serviços da plataforma estão a funcionar normalmente.
No que diz respeito aos dados afetados, o âmbito está limitado à «geração de relatórios fiscais 2024, encerrados em 31/12/2024», sempre de acordo com o comunicado. Assim, é possível encontrar o endereço de e-mail do utilizador, bem como os dados dos relatórios (ganhos, perdas, saldos).
Por sua natureza, o assistente fiscal da Waltio agrega os dados das suas contas nas plataformas de câmbio para analisá-los e, em seguida, calcular o valor das suas mais-valias tributáveis.
Pierre Morizot esclarece, no entanto, para tranquilizar os utilizadores, que «nenhum dado que permita aceder aos seus criptoativos foi comprometido». Além disso, ele lembra que a plataforma não requer nenhuma informação relativa à sua identidade (nome, apelido, endereço postal, número de telefone, data de nascimento).
A empresa explica que continua as investigações, realizando uma revisão completa do histórico do seu Sistema Informático (SI). Será enviada uma comunicação direta aos utilizadores potencialmente afetados, acompanhada de recomendações «claras e operacionais».
Além disso, a Waltio anuncia que está empenhada e continuará a notificar o incidente à CNIL e que apresentou queixa, através do seu advogado, Maître Romain Chilly, junto da secção J3 do Ministério Público de Paris.
O principal risco: ataques por engenharia social
Conforme especificado no comunicado, o principal risco com este tipo de fuga não é o roubo técnico de fundos. Os atacantes preferem explorar elementos contextuais para visar as vítimas com phishing ou tentativas de fraude.
Estes últimos utilizam vários vieses cognitivos para o colocar numa situação de stress e levá-lo a cometer um erro:
- incentivo para reagir rapidamente;
- ameaça de perda financeira;
- usurpação de uma figura legítima;
- medo das consequências negativas;
- pressão social…
Por isso, é particularmente importante identificar claramente o seu interlocutor. Pode verificar a autenticidade de um e-mail da Waltio através do código de segurança presente na parte inferior dos e-mails de marketing enviados. Verifique a correspondência com os que estão na sua conta, recomenda a Waltio.
Além disso, é importante lembrar que a empresa não possui o seu número de telefone e endereço postal, portanto, não receberá chamadas, SMS ou correspondência deles.
Este evento contribui para reforçar o clima de medo entre os detentores de criptomoedas no território francês. Ultimamente, casos de sequestros, detenções e ameaças não param de ser manchetes nas notícias.
A centralização de informações confidenciais cria um repositório único de dados e constitui um ponto de vulnerabilidade importante. A lista particularmente longa de fugas de dados (incluindo várias entidades públicas) registadas pelo site bonjourlafuite para o ano de 2025 questiona a legitimidade de certos serviços acederem a este tipo de dados.
Como explica a Adan, essa recolha tem frequentemente origem em exigências regulamentares; é necessário rever a dimensão substancial do tratamento desses dados para não criar novas áreas de vulnerabilidade.
A Adan observa com grande preocupação a multiplicação, desde o início do ano de 2026, de atos de violência graves contra investidores e atores do setor de criptoativos na França. Estes factos exigem uma resposta das autoridades públicas à altura das…
— Adan (@adan_asso) 23 de janeiro de 2026
Independentemente das proteções atribuídas a um SI, este estará sempre vulnerável. Assim, para reduzir a superfície de ataque, a única solução parece ser a minimização dos dados: zero dados, zero fugas.
