As gigantes aéreas Air France e KLM confirmaram ter sofrido um vazamento de dados decorrente do comprometimento de uma plataforma de atendimento operada por um terceiro. O incidente, detectado entre 28 de julho e o início de agosto de 2025, expôs nomes, dados de contato, número e status no programa Flying Blue e assuntos de e-mails trocados com o suporte.
As companhias afirmam que seus sistemas internos não foram invadidos e que senhas, passaportes, informações de pagamento e saldos de milhas não foram acessados. Clientes impactados estão sendo notificados e orientados a redobrar a atenção contra phishing. As empresas comunicaram o caso à CNIL (França) e à Autoriteit Persoonsgegevens (Holanda).
Detalhes do incidente de vazamento
Segundo comunicados enviados ao mercado e a clientes, o ataque explorou uma falha na cadeia de fornecimento, cada vez mais visada por criminosos, ao atingir um provedor que hospeda o sistema de contact center utilizado pelas duas aéreas. Ao identificar atividade suspeita na semana de 28 de julho, as equipes de segurança cortaram o acesso e iniciaram procedimentos de contenção e mitigação em conjunto com o fornecedor.
A Air France e a KLM reforçam que não houve comprometimento dos seus ambientes corporativos e que dados sensíveis permaneceram fora de alcance durante a intrusão. Para os clientes, o risco imediato é engenharia social: golpistas podem usar nomes, e-mails e o contexto de chamadas anteriores para criar mensagens e telefonemas, solicitando códigos, links de “verificação” ou autorizações de aplicativos. Por isso, os avisos enviados recomendam não clicar em links suspeitos e ignorar pedidos de confirmação de dados vindos por e-mail ou telefone.
As duas empresas dizem ter cumprido os ritos regulatórios ao notificar as autoridades de proteção de dados na França e na Holanda dentro dos prazos legais. Esse movimento segue a prática de transparência exigida pela legislação europeia e sinaliza que o episódio está sob investigação formal.
Possível ligação com campanha do ShinyHunters
Fontes da comunidade de segurança e reportagens recentes apontam a campanha do grupo ShinyHunters (UNC6040) como pano de fundo de uma onda de ataques que mira plataformas de CRM e atendimento, com ênfase em Salesforce. O modus operandi combina vishing (phishing por voz) com abuso de Connected Apps/OAuth para obter autorizações válidas e driblar camadas de segurança, sem exploração de falhas no provedor, mas manipulando usuários para instalar loaders falsos ou conceder acessos. Embora as aéreas não tenham atribuído publicamente o ataque, os indicadores de tática, técnica e procedimento (TTPs) coincidem com essa campanha.
A ofensiva do ShinyHunters já teria atingido múltiplas marcas globais ao longo de 2024 e 2025, reforçando a tese de que integrações de terceiros e processos de suporte são o elo fraco em ambientes distribuídos. Para os CISOs, o recado é claro: fraudes de credencial e autorizações enganosas contornam rapidamente defesas tradicionais quando MFA é mal aplicado ou fluxos de aprovação de apps não são rigidamente controlados.
O que muda para executivos de TI e segurança
Para líderes de TI no Brasil e na região, o caso Air France–KLM serve como alerta sobre risco de cadeia de suprimentos digital em operações de atendimento, especialmente quando terceiros controlam dados de relacionamento e fidelidade. Três frentes merecem prioridade imediata:
- Governança de fornecedores críticos: reavaliar contratos de BPO/atendimento e exigir evidências de hardening em plataformas de CRM, com MFA obrigatório, políticas de menor privilégio e telemetria detalhada de Connected Apps. Cláusulas de notificação e auditoria contínua devem ser revisitadas.
- Higiene de identidade e anti-vishing: reforçar treinamentos baseados em simulação de chamadas e playbooks para equipes de suporte e backoffice; bloquear instalação de apps não aprovados e restringir consentimentos OAuth. A revisão semanal de tokens e integrações reduz a janela de abuso.
- Resposta a incidentes centrada no cliente: ajustar runbooks para notificações rápidas e personalizadas, com verificação de canais (e-mail, SMS, app) e mensagens claras sobre o que foi e o que não foi exposto, prática observada neste caso.
Impacto para clientes e fidelidade
Embora milhas e pagamentos não tenham sido acessados, a exposição de dados de fidelidade pode alimentar fraudes de conta (account takeover) via recuperação de senha ou engenharia social. Companhias com programas robustos, como o Flying Blue, tendem a ser alvos porque o valor percebido das contas é alto e interações prévias com o suporte fornecem um roteiro para golpes convincentes. Monitoramento de tentativas de login, alertas de mudança de e-mail e bloqueio por geolocalização são contramedidas recomendadas para emissores e consumidores.
Próximos passos das aéreas
Air France e KLM reportam ter desconectado o acesso indevido, iniciado investigação com o fornecedor e implementado correções. A expectativa é que novas camadas de verificação e revisões de integrações sejam implantadas nos ambientes de atendimento. Enquanto isso, clientes devem desconfiar de contatos não solicitados, evitar compartilhar códigos ou links recebidos por telefone e validar comunicações nos canais oficiais das companhias.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
