A Crunchbase, uma plataforma de inteligência de negócios sediada nos EUA que rastreia informações sobre empresas privadas e públicas, confirmou ter sofrido uma violação de dados após alegações do grupo de crimes cibernéticos ShinyHunters de que roubou mais de 2 milhões de registros dos sistemas da empresa. A confirmação veio no final de janeiro de 2026, depois que o ator publicou um arquivo comprimido de supostos dados roubados em seu site de vazamento na dark web.
ShinyHunters é um grupo de cibercrime motivado financeiramente conhecido por exfiltrar grandes volumes de dados pessoais e corporativos e listar publicamente supostas vítimas em plataformas clandestinas caso as exigências de resgate não sejam atendidas. O grupo ganhou notoriedade pela primeira vez em 2020 e foi ligado a uma série de incidentes de roubo de dados de grande repercussão que afetaram grandes organizações.
Segundo reportagens de segurança, o grupo publicou um arquivo comprimido de 402 MB com arquivos que, segundo ele, foram retirados do Crunchbase após a empresa se recusar a pagar exigências de extorsão. O arquivo publicado representa apenas uma fração do total de dados que os hackers afirmam ter acessado. A Crunchbase reconheceu o incidente, afirmando ter detectado uma violação de cibersegurança envolvendo a exfiltração não autorizada de documentos de sua rede corporativa. A empresa afirmou que suas operações principais de negócios não foram interrompidas pela violação e que seus sistemas agora estão seguros.
Em um comunicado à Independent Reporting, a Crunchbase disse que tomou medidas imediatas para conter o incidente e contratou especialistas externos em cibersegurança para auxiliar na investigação e resposta. A empresa também notificou as autoridades federais de aplicação da lei como parte de seus procedimentos de resposta a incidentes. A Crunchbase afirmou que está revisando os arquivos expostos para determinar quais dados foram afetados e se notificações aos reguladores ou partes afetadas são obrigatórias sob os requisitos legais aplicáveis.
A análise inicial da amostra pública sugere que o material vazado inclui dados pessoais como nomes, dados de contato e informações empresariais. A extensão total da violação e as categorias de dados comprometidos ainda estão em análise. Até agora, não há indicação de que senhas ou outras credenciais de autenticação sensíveis tenham sido incluídas no arquivo publicado, mas as investigações continuam em andamento.
O grupo ShinyHunters também reivindicou a responsabilidade por violações semelhantes em outras empresas, incluindo a plataforma de streaming de áudio SoundCloud e a empresa de serviços financeiros Betterment, como parte de suas operações de vazamento reativadas. Ambas as empresas já confirmaram incidentes de cibersegurança, e cada uma está revisando sua própria exposição e resposta.
A confirmação da Crunchbase marca uma das poucas vezes em que a empresa reconheceu publicamente uma violação após alegações de um grupo de crimes cibernéticos. O incidente destaca desafios contínuos para as organizações na proteção das redes corporativas e dos dados sensíveis de negócios contra campanhas sofisticadas de roubo e extorsão de dados. Esforços de investigação e remediação continuam em andamento.