Um vento de pânico soprou sobre os meios de comunicação e as redes sociais devido ao suposto ciberataque à Caixa de Abono de Família (CAF). No entanto, o verdadeiro alvo foi uma plataforma do Ministério do Esporte, da Juventude e da Vida Associativa. Um retorno a uma confusão que tomou proporções inesperadas.
As 3 informações a não perder
- A CAF não foi hackeada; foi uma plataforma ligada ao Ministério do Esporte que foi vítima de um ciberataque.
- O grupo de hackers Dumpsec é o responsável pelo ataque, tendo roubado 22 milhões de registros.
- O Ministério do Esporte confirmou a intrusão e anunciou medidas para conter os danos.
Uma confusão mediática em torno da CAF
Durante mais de vinte e quatro horas, a informação de que a CAF havia sido hackeada circulou sem interrupção. Este boato foi alimentado por um cibercriminoso francês que alegou ser o autor deste feito. No entanto, tratava-se, na verdade, de uma manipulação. O verdadeiro alvo era uma plataforma do Ministério do Esporte, associations.gouv.fr, dedicada às associações.
Clément Domingo, também conhecido como SaxX, um hacker ético, expressou desde o início seu ceticismo em relação a este suposto ataque contra a CAF. Hoje, está confirmado que a CAF nunca foi afetada por este ciberataque.
O verdadeiro hack: uma plataforma do Ministério do Esporte
O grupo de hackers Dumpsec orquestrou o ataque à plataforma associations.gouv.fr em 3 de novembro de 2025. Fingindo ser uma associação legítima, eles exploraram uma falha de segurança para extrair 22 milhões de registros em uma única noite. Este grupo, já conhecido por suas operações semelhantes, até publicou detalhes sobre seu método, ilustrando assim um sentimento de impunidade.
A revelação desses fatos ocorre seis semanas após o ataque inicial, devido a uma disputa entre Dumpsec e um impostor que erroneamente assumiu a responsabilidade pelo ataque, ameaçando assim seu “negócio”. Dumpsec então decidiu divulgar provas para reivindicar sua ação.
Reação do Ministério do Esporte e impacto sobre os cidadãos
O Ministério do Esporte reconheceu oficialmente a intrusão em 19 de dezembro e especificou que o Pass Sport era realmente o alvo dos cibercriminosos. Um comunicado divulgado pela BFMTV menciona uma “exfiltração de dados” e a implementação de medidas para mitigar as consequências do ataque. Uma queixa será apresentada e a CNIL será notificada dentro de 72 horas.
Cerca de 3,5 milhões de lares são afetados por este vazamento massivo de dados. O ministério compromete-se a informar rapidamente as pessoas afetadas e a fornecer-lhes “recomendações de segurança”. Enquanto isso, Dumpsec já revelou sua intenção de monetizar os dados roubados, destacando uma nova falha na segurança dos serviços públicos digitais.
O grupo Dumpsec: um ator conhecido dos ciberataques
Dumpsec é um grupo de hackers notório, acostumado a este tipo de operações. Sua expertise em cibercriminalidade já se manifestou várias vezes, com ataques direcionados a várias instituições. Este último ataque a uma plataforma governamental ilustra sua capacidade de explorar falhas de segurança com uma eficácia temível.
O método de Dumpsec muitas vezes se baseia na dissimulação e na usurpação de identidade, fingindo ser entidades legítimas. Sua transparência quanto aos seus procedimentos testemunha sua confiança em um sistema que percebem como vulnerável e incapaz de persegui-los eficazmente.
