A empresa Figure, especializada em crédito baseado em blockchain, confirmou que sofreu uma violação de dados após um ataque de engenharia social direcionado a um funcionário. O invasor obteve acesso à conta interna do colaborador e baixou documentos que continham informações pessoais de clientes.

A companhia afirmou que identificou rapidamente a atividade suspeita e bloqueou o acesso indevido. Além disso, contratou uma equipe especializada em perícia digital para avaliar a extensão do incidente. Segundo a investigação inicial, apenas um volume limitado de arquivos foi comprometido, embora os dados envolvidos incluam informações sensíveis.

Ataque do grupo ShinyHunters expõe dados de clientes

O grupo ShinyHunters assumiu a autoria do ataque. De acordo com o portal TechCrunch, que analisou amostras do material vazado, os documentos acessados continham nomes completos, endereços, datas de nascimento e números de telefone de usuários da plataforma. Além disso, os hackers alegaram que cerca de 2,5 gigabytes de dados foram publicados após a empresa supostamente recusar um pedido de resgate.

A Figure não confirmou o volume relatado pelos invasores, mas iniciou a notificação individual dos clientes afetados. A empresa também informou que oferecerá monitoramento de crédito gratuito para ajudar na proteção contra possíveis golpes futuros.

Ataques ligados a falhas de autenticação

O TechCrunch relatou que um integrante do ShinyHunters afirmou que essa ação faz parte de uma campanha maior contra organizações que utilizam o provedor de autenticação Okta. Entre as supostas vítimas estariam instituições como a Universidade Harvard e a Universidade da Pensilvânia. Assim, o caso da Figure se insere em um cenário de ataques coordenados que exploram técnicas avançadas de engenharia social.

A engenharia social consiste em manipular funcionários para que forneçam acesso a sistemas internos por meio de e-mails fraudulentos, ligações ou mensagens enganosas. Relatórios recentes indicam que ataques desse tipo aumentaram de forma significativa, impulsionados por tecnologias de falsificação e automação. Em janeiro, a Chainalysis revelou que golpes de personificação resultaram no roubo de mais de US$ 17 bilhões em cripto no último ano.

Além disso, um levantamento do Privacy Rights Clearinghouse mostrou que, apenas em 2025, ocorreram mais de 8.000 notificações de violações de dados relacionadas a mais de 4.000 incidentes. Esses episódios afetaram mais de 374 milhões de pessoas, reforçando a tendência global de crescimento dos riscos digitais.

Impacto no mercado em meio às movimentações corporativas

Fundada em 2018, a Figure atua com linhas de crédito baseadas em home equity e opera sobre a blockchain Provenance. A empresa, sediada em Nova York, abriu capital em setembro de 2025 sob o ticker FIGR, levantando US$ 787,5 milhões em sua oferta pública inicial, o que resultou em uma avaliação próxima de US$ 5,3 bilhões.

A divulgação da violação ocorreu em um momento estratégico para a companhia. A Figure anunciou que planeja realizar uma oferta pública secundária envolvendo até 4.230.000 ações de sua Series A Blockchain Common Stock. Além disso, pretende recomprar até US$ 30 milhões em ações Classe A diretamente dos subscritores do processo.

Assim, a empresa enfrenta simultaneamente demandas operacionais, legais e de mercado. A confirmação da violação, somada ao início das notificações aos clientes e ao fornecimento de monitoramento de crédito, reforça a necessidade de respostas rápidas enquanto avança com seus planos de expansão e recompras de ações.