O credor de blockchain cotado em bolsa, a Figura, confirma violação de dados de clientes

Resumo

• A empresa confirmou uma violação de dados, afirmando que um funcionário foi enganado numa ataque de engenharia social.
• Os ficheiros roubados incluem alegadamente nomes, endereços, datas de nascimento e números de telefone, segundo um relatório.
• A entidade financeira cotada em bolsa afirma que está a oferecer monitorização de crédito gratuita às pessoas afetadas.

A Figure Technology confirmou na sexta-feira que sofreu uma violação de dados de clientes após um funcionário ter sido alvo de um ataque de engenharia social.
O grupo de hackers ShinyHunters reivindicou a responsabilidade, dizendo que a Figure recusou pagar um resgate e que publicou 2,5 gigabytes de dados roubados. A TechCrunch, que foi a primeira a reportar a violação, afirmou ter revisto alguns dos ficheiros, que incluíam nomes completos, endereços de residência, datas de nascimento e números de telefone dos clientes.
“Recentemente identificámos que um funcionário foi alvo de engenharia social, o que permitiu a um atacante descarregar um número limitado de ficheiros através da sua conta,” afirmou a Figure numa declaração partilhada com a Decrypt. “Agimos rapidamente para bloquear a atividade e contratámos uma empresa forense para investigar quais os ficheiros que foram afetados.”

A engenharia social refere-se a quando os atacantes manipulam funcionários através de emails, chamadas ou mensagens enganosas para obter acesso aos sistemas corporativos, muitas vezes enganando-os para partilhar credenciais ou aprovar pedidos não autorizados.
Um relatório de janeiro da Chainalysis afirmou que mais de 17 mil milhões de dólares em criptomoedas foram roubados no ano passado através de esquemas de impersonação alimentados por IA.
As violações de dados continuaram a ser frequentes em 2025, com reguladores a registar mais de 8.000 notificações relacionadas com mais de 4.000 incidentes distintos que afetaram pelo menos 374 milhões de pessoas, de acordo com um relatório de dezembro de 2025 do Privacy Rights Clearinghouse.
Fundada em 2018, a Figure é uma entidade financeira com sede em Nova Iorque que gere a sua plataforma de empréstimos na blockchain Provenance, focando-se em linhas de crédito de capital próprio para habitação. A Figure tornou-se pública em setembro de 2025, sob o símbolo FIGR, levantando 787,5 milhões de dólares numa oferta pública inicial (IPO) que a avaliou em cerca de 5,3 mil milhões de dólares.

Embora o porta-voz tenha recusado fornecer mais detalhes, um membro do grupo ShinyHunters alegadamente disse à TechCrunch que a violação fazia parte de uma campanha mais ampla direcionada a empresas que dependem do fornecedor de login único Okta. Outras vítimas alegadas incluíram a Universidade de Harvard e a Universidade da Pensilvânia.
A Figure afirmou que está a comunicar com parceiros e partes afetadas, bem como a implementar medidas de segurança adicionais.
“Estamos a oferecer monitorização de crédito gratuita a todas as pessoas que receberem um aviso,” afirmou a empresa. “Monitorizamos continuamente as contas e temos fortes medidas de proteção para salvaguardar os fundos e contas dos clientes.”
A notícia da violação de dados surge no momento em que a Figure anunciou na sexta-feira o lançamento de uma oferta secundária pública de até 4.230.000 ações da sua Série A de ações ordinárias de blockchain, com planos de recomprar até 30 milhões de dólares em ações de Classe A junto de subscritores.
As ações da Figure encerraram o dia com uma subida de 3,57%, a um preço de 35,29 dólares, embora tenham caído 37% no último mês.