Uma empresa americana de gestão de registros está investigando relatos de que um ator criminoso alega ter acessado sistemas internos e dados sensíveis de clientes, segundo pesquisadores de segurança que rastreiam supostas violações em redes corporativas. O incidente envolve a Iron Mountain Incorporated, que oferece armazenamento de dados, gerenciamento de informações e serviços seguros de trituração para governos, empresas e serviços de saúde. Os serviços de monitoramento de crimes cibernéticos listaram a organização em um site de vazamento da dark web em 5 de fevereiro de 2026, afirmando que arquivos roubados incluem informações internas e de clientes.
Os dados publicados na plataforma de vazamento foram atribuídos a um ator ameaçador desconhecido que disse incluir mais de 5 GB de arquivos comprimidos roubados dos sistemas Iron Mountain. A lista de supostos arquivos circulados online inclui pastas supostamente ligadas a documentação interna, contratos e registros administrativos. Pesquisadores de segurança enfatizam que listagens em sites obscuros muitas vezes não podem ser verificadas de forma independente e podem conter alegações fabricadas destinadas a pressionar organizações a pagarem resgates ou chamar atenção sem comprovação de acesso.
A Iron Mountain afirmou em comunicado que viu alegações publicadas sobre uma possível violação em seus sistemas, mas que as equipes da empresa não confirmaram nenhum comprometimento de sua infraestrutura, sistemas de clientes ou dados. A organização afirmou que está investigando o caso com especialistas externos em cibersegurança e monitorando continuamente suas redes. A Iron Mountain acrescentou que não acredita que tenha havido impacto nos ambientes ou operações dos clientes.
A empresa opera uma variedade de serviços de proteção de dados, incluindo armazenamento físico de registros, destruição segura de dados, soluções de backup em nuvem e ferramentas de gerenciamento digital de informações. Ela atende clientes de diversos setores que incluem saúde, jurídico e governo, muitos dos quais lidam com informações pessoais reguladas ou sensíveis.
Analistas de cibersegurança observaram que atores criminosos frequentemente publicam alegações não verificadas de dados exfiltrados e incluem trechos de nomes comuns de arquivos ou tipos genéricos de documentos para tornar as publicações credíveis. Pesquisadores independentes e profissionais de resposta a incidentes alertam que as reivindicações publicadas de violação de dados devem ser analisadas até que a organização confirme se os sistemas foram acessados e quais informações podem ter sido afetadas.
Não houve divulgação pública de notificações às vítimas ou registros regulatórios vinculados à Iron Mountain em relação ao suposto incidente até o início de fevereiro de 2026. As autoridades não relataram envolvimento no caso, e a investigação da empresa continua em andamento. A Iron Mountain disse que fornecerá atualizações caso surjam mais evidências de uma violação confirmada.