Painel Econômico

Vazamento de dados Udemy expõe 1,4 milhão de usuários

Grupo ShinyHunters publica informações de instrutores e alunos após falha em negociação; entenda riscos e como se proteger

Vazamento de dados Udemy expõe 1,4 milhão de usuários
📷 Reprodução Tecmundo
📋 Em resumo
  • Grupo ShinyHunters vazou 1,4 milhão de registros da Udemy após falha em negociação de resgate
  • Dados expostos incluem nomes, e-mails, telefones, endereços, informações empresariais e métodos de pagamento
  • Usuários brasileiros podem verificar exposição no serviço Have I Been Pwned
  • Por que isso importa: a combinação de dados pessoais e profissionais amplia riscos de phishing corporativo e fraudes financeiras direcionadas
Compartilhar: WhatsApp X LinkedIn

O grupo de cibercriminosos ShinyHunters publicou dados de 1,4 milhão de usuários da plataforma de cursos online Udemy após a empresa não atender exigências de resgate. O vazamento, confirmado em abril de 2026, expõe informações pessoais e corporativas que elevam riscos de fraudes no Brasil e no mundo.

"Mais de 1,4 milhão de registros com dados pessoais e informações corporativas internas foram comprometidos. Pague ou vazamos", dizia a publicação do grupo na dark web.

Como ocorreu o ataque e a falha na negociação

Em 24 de abril de 2026, o ShinyHunters listou a Udemy em seu site de vítimas na dark web, estabelecendo prazo até 27 de abril para pagamento. A empresa não negociou publicamente e, no domingo, 26, o grupo liberou o conjunto de dados. "A empresa falhou em chegar a um acordo conosco apesar de toda a nossa paciência", escreveu o grupo.

📰 Leia também

O serviço Have I Been Pwned, referência global em monitoramento de violações, confirmou a autenticidade do conjunto e o incorporou ao seu banco de buscas. Segundo o serviço, 56 por cento dos endereços de e-mail presentes no vazamento já tinham aparecido em outras violações anteriores.

O que foi exposto e quem está em risco

Os registros vazados contêm informações sensíveis que vão além do básico. Veja o que foi comprometido:

  1. Dados pessoais: nome completo e data de nascimento
  2. Contato: telefone fixo, celular e e-mail
  3. Endereço: informações de residência ou correspondência
  4. Empresa: cargo, nome e dados da organização empregadora
  5. Documentos: CPF, CNPJ e inscrição municipal
  6. Informações comerciais: porte da empresa e indicadores de negócio
  7. Faturamento: contato financeiro e forma de pagamento
  8. Outros: dados adicionais e contatos secundários

A exposição é particularmente crítica para instrutores da plataforma, cujos métodos de pagamento — como PayPal, transferência bancária e cheque — também foram comprometidos.

"E-mails associados a empresas empregadoras são especialmente perigosos porque abrem caminho para ataques de phishing corporativo", alertam especialistas em segurança digital.

Por que este vazamento preocupa mais que outros

A combinação de dados pessoais com informações profissionais cria um cenário propício para golpes sofisticados. Criminosos podem usar nome, cargo, empresa e e-mail profissional para montar mensagens de phishing altamente convincentes, personalizadas para cada vítima.

Endereços físicos e telefones ampliam o leque para golpes por SMS, conhecidos como smishing, e ligações fraudulentas. Para instrutores, o risco é ainda mais direto: com métodos de pagamento expostos, há possibilidade real de tentativas de desvio de receitas ou clonagem de contas financeiras.

No Brasil, onde o uso de plataformas de educação online cresceu de forma acelerada nos últimos anos, o impacto pode ser significativo. Muitos profissionais usam a Udemy tanto como alunos quanto como instrutores, o que significa que um único vazamento afeta múltiplas dimensões da vida digital.

Quem são os ShinyHunters e seu modus operandi

O ShinyHunters é um dos grupos de extorsão mais ativos no cenário do cibercrime internacional. Nas últimas semanas, o grupo listou como vítimas a Amtrak, a RockStar Games, a empresa de saúde Hims & Hers, a Hallmark, a Comissão Europeia e a Ameriprise Financial.

Em 2025, o grupo foi associado a um ataque contra o Salesforce que comprometeu bases de dados de clientes corporativos. Antes disso, havia vazado dados de 2,5 milhões de registros da Alert 360, empresa americana de segurança residencial e empresarial, após negociações de resgate fracassarem.

O padrão é consistente: obtenção de dados, exigência de pagamento com prazo definido e publicação integral caso a empresa não ceda. A estratégia explora o medo de danos reputacionais e regulatórios para forçar negociações.

O que fazer se você tem conta na Udemy

Especialistas recomendam ações imediatas para mitigar riscos:

  • Troque a senha da Udemy agora, especialmente se ela for reutilizada em outras plataformas
  • Ative a autenticação em dois fatores sempre que disponível
  • Fique atento a e-mails suspeitos, mensagens de texto ou ligações que mencionem seu nome, empresa ou cursos feitos na plataforma
  • Instrutores devem monitorar movimentações em suas contas de pagamento vinculadas à plataforma
  • Usuários brasileiros podem consultar o site Have I Been Pwned para verificar se o e-mail cadastrado aparece no vazamento

A prudência deve se estender a comunicações que pareçam legítimas mas solicitem dados sensíveis, cliques em links desconhecidos ou transferências financeiras não solicitadas.

O silêncio da Udemy e a responsabilidade das plataformas

Até a publicação desta análise, a Udemy não havia se manifestado publicamente sobre o vazamento. O TecMundo relatou ter entrado em contato com a empresa sem obter resposta.A ausência de comunicação oficial em situações como esta gera um vácuo de informação que pode ampliar danos aos usuários. Plataformas que lidam com dados sensíveis têm a obrigação ética e legal de informar rapidamente sobre violações, orientar sobre medidas de proteção e colaborar com investigações.

No Brasil, a Lei Geral de Proteção de Dados estabelece prazos e procedimentos para notificação de incidentes. A autoridade nacional, a Autoridade Nacional de Proteção de Dados, pode aplicar sanções em caso de descumprimento.

Um alerta para o ecossistema de educação digital

O vazamento da Udemy não é um caso isolado. Ele integra uma onda de ataques direcionados a plataformas que concentram grandes volumes de dados pessoais e profissionais.

À medida que a educação digital se expande, a segurança da informação precisa ser tratada como prioridade estratégica, não como custo operacional. Usuários, por sua vez, devem adotar práticas básicas de higiene digital: senhas únicas, autenticação em dois fatores e atenção redobrada a comunicações suspeitas.

"Dados vazados são insumo valioso para golpistas. A prevenção começa com a consciência de que suas informações têm valor — e risco.

"O episódio reforça que, no ambiente digital, a exposição de dados é uma moeda de troca. E quem não se protege, vira alvo.

Versão em áudio disponível no topo do post

Veja também
Itália abre até 500 mil vagas para estrangeiros: o que muda para descendentes de brasileiros
Painel Econômico
Itália abre até 500 mil vagas para estrangeiros: o que muda para descendentes de brasileiros
27 abr. 2026
Mercado eleva inflação 2026 para 4,86% e sinaliza pressão sobre juros
Painel Econômico
Mercado eleva inflação 2026 para 4,86% e sinaliza pressão sobre juros
27 abr. 2026
EUA assumem controle da única mina de terras raras do Brasil em negócio de US$ 2,8 bilhões
Painel Econômico
EUA assumem controle da única mina de terras raras do Brasil em negócio de US$ 2,8 bilhões
20 abr. 2026
#Udemy #VazamentodeDados #ShinyHunter #AtaqueCibernético