Mais de 22 milhões de clientes da seguradora Aflac tiveram dados pessoais comprometidos após um incidente de cibersegurança ocorrido em junho deste ano. A confirmação foi feita pela própria companhia, sediada no estado da Geórgia, ao concluir uma investigação que se estendeu por vários meses.
Segundo a empresa, o ataque foi identificado e contido poucas horas depois de sua detecção. Ainda assim, os invasores conseguiram copiar arquivos que continham informações sensíveis. A Aflac informou a Securities and Exchange Commission (SEC) que, apesar da resposta rápida, houve extração não autorizada de dados. A seguradora ressaltou que o episódio não envolveu ransomware, já que não houve criptografia de sistemas nem exigência de pagamento de resgate.
Autoridades do estado do Texas confirmaram que mais de 2 milhões de moradores locais foram afetados. No total, a estimativa é de que cerca de 22,7 milhões de pessoas tenham tido informações expostas. Entre os dados comprometidos estão registros de sinistros, informações de saúde, números de Social Security — equivalente ao CPF nos Estados Unidos — além de outros dados pessoais de clientes, beneficiários, funcionários, corretores e parceiros vinculados às operações da empresa no país.
Apesar da dimensão do vazamento, a Aflac afirmou que seus serviços não sofreram interrupções. O incidente foi comunicado às autoridades federais, e especialistas independentes em cibersegurança foram contratados para apoiar as ações de resposta e mitigação.
As notificações enviadas às pessoas afetadas indicam que a investigação foi concluída em 4 de dezembro. Como medida de compensação, a empresa oferecerá dois anos de serviços de proteção contra roubo de identidade, com prazo de adesão até 18 de abril de 2026.
O ataque ocorreu em um contexto de ofensiva mais ampla contra o setor de seguros, atribuída ao grupo hacker conhecido como Scattered Spider. O coletivo é conhecido pelo uso de técnicas de engenharia social, frequentemente se passando por profissionais de tecnologia para obter acesso inicial a grandes organizações. No mesmo período, companhias como Erie Insurance, Philadelphia Insurance Companies e Scania Financial Services também relataram incidentes semelhantes.
Após essa sequência de ataques, autoridades conseguiram derrubar um site de vazamento utilizado pelo grupo e prender dois de seus integrantes no Reino Unido. Um processo do Departamento de Justiça dos Estados Unidos, tornado público em setembro, aponta que a operação criminosa do Scattered Spider extorquiu pelo menos US$ 115 milhões de dezenas de vítimas nos últimos três anos.
