Um cibercriminoso afirma ter invadido sistemas da Condé Nast, grupo responsável por veículos como o WIRED, e vazado um banco de dados com informações de mais de 2,3 milhões de assinantes do site de tecnologia. Segundo o próprio autor do ataque, novos vazamentos podem ocorrer nas próximas semanas, envolvendo até 40 milhões de registros de outras plataformas pertencentes à empresa.
O vazamento teria ocorrido em 20 de dezembro, quando um agente usando o pseudônimo “Lovely” publicou o banco de dados em um fórum de hackers. O acesso ao material estaria sendo vendido por cerca de US$ 2,30 em créditos da plataforma. Na publicação, o criminoso acusou a Condé Nast de ignorar alertas de vulnerabilidade e de tratar a segurança da informação com descaso.
Engenharia social para alcançar a equipe de segurança
De acordo com o DataBreaches, site especializado na cobertura de incidentes de segurança, Lovely entrou em contato afirmando querer alertar a empresa sobre falhas em seus sistemas. Em 22 de novembro, o cibercriminoso passou a enganar jornalistas do próprio DataBreaches como parte de uma tentativa de se aproximar da equipe de segurança da Condé Nast.
Durante a conversa, Lovely chegou a apresentar dados reais da conta do próprio DataBreaches cadastrada no WIRED, numa tentativa de ganhar credibilidade. Inicialmente, o criminoso afirmou que não buscava recompensa financeira, apenas alertar sobre uma vulnerabilidade. Posteriormente, o site descobriu que, na verdade, eram ao menos seis falhas exploráveis e que havia sim uma tentativa de extorsão envolvida.
Em um comunicado posterior, Lovely afirmou que pretende divulgar ainda mais dados de usuários, mencionando um volume superior a 40 milhões de registros.
Dados espalhados em diferentes fóruns
Após o primeiro vazamento, os dados também foram publicados em outros fóruns clandestinos. Em alguns deles, os usuários precisavam gastar créditos para obter a senha do arquivo contendo as informações. O criminoso afirma que as vulnerabilidades exploradas permitiriam visualizar dados de todas as contas da Condé Nast, além de alterar e-mails e senhas de qualquer usuário.
Lovely também divulgou uma lista de marcas do grupo que teriam sido afetadas, incluindo títulos como The New Yorker, Vogue, Vanity Fair, Glamour, Architectural Digest, GQ, Golf Digest, Teen Vogue, Condé Nast Traveler, entre outros, com base nas abreviações presentes nos dados.
Quais informações foram expostas
Os dados já aparecem em serviços de monitoramento de vazamentos, como o Have I Been Pwned. O conjunto inclui um identificador interno do assinante, nome, endereço de e-mail, número de telefone, endereço físico, localização geográfica, data de nascimento e gênero.
No total, o banco de dados reúne 2.366.576 registros, sendo 2.366.574 endereços de e-mail únicos. As informações têm registros que variam de abril de 1996 até setembro de 2025. Também constam carimbos de data e hora de criação e atualização das contas, dados da última sessão e campos específicos do WIRED, como nome de usuário exibido e datas de atividade na plataforma.
A maioria dos registros contém informações básicas, mas parte deles é mais sensível. Cerca de 12% incluem nome e sobrenome, pouco mais de 8% trazem endereço físico, quase 3% contêm data de nascimento e cerca de 1,3% incluem número de telefone. Um subconjunto ainda menor reúne perfis mais completos, com nome, data de nascimento, telefone, endereço e sexo.
Até o momento, a Condé Nast não se pronunciou oficialmente sobre o incidente, que teria ocorrido em 25 de dezembro. Enquanto isso, o caso reforça mais uma vez a importância de políticas rígidas de segurança e resposta rápida a relatórios de vulnerabilidade, especialmente em empresas que lidam com grandes volumes de dados pessoais.
