Dados pessoais sensíveis pertencentes a mais de 150.000 jogadores e funcionários de futebol ligados à Confederação Asiática de Futebol (AFC) e ao clube saudita Al Nassr foram vazados online, levantando preocupações de segurança apenas semanas antes da Copa do Mundo FIFA de 2026.
Segundo relatos, o conjunto de dados inclui escaneamentos de passaportes, detalhes de identificação, contratos e endereços de e-mail verificados vinculados tanto a jogadores quanto a treinadores. A violação afeta cerca de 69.000 jogadores e 81.000 membros da equipe técnica, tornando-se um dos maiores incidentes conhecidos envolvendo dados de futebol profissional.
As informações expostas vão além dos registros básicos. Arquivos vazados conterão nomes legais completos, números de passaporte, datas de nascimento, nacionalidades, afiliações de clubes e dados de registro em torneios ligados às competições da AFC. Esses detalhes são considerados altamente sensíveis, especialmente devido à sua ligação direta com verificação de identidade e viagens internacionais.
Os dados teriam sido publicados em um fórum de cibercrime, onde o ator ameaçador afirmava possuir um banco de dados completo de jogadores e treinadores da AFC. O indivíduo por trás do vazamento mencionou ligações com o grupo ShinyHunters, embora pesquisadores sugiram que o ator pode estar aproveitando a reputação do grupo para aumentar credibilidade e ganhos financeiros.
Analistas de segurança alertam que a combinação de dados de passaportes, contratos e informações de contato verificadas cria um ambiente de alto risco para ataques direcionados. O conjunto de dados pode possibilitar fraudes de identidade, campanhas de phishing, manipulação de contratos e tentativas de engenharia social voltadas contra atletas, agentes e clubes de alto perfil.
O momento da violação aumenta significativamente seu impacto potencial. Vários países membros da AFC estão se preparando para participar da Copa do Mundo FIFA 2026, o que significa que muitos indivíduos afetados viajarão internacionalmente com calendários e locais publicamente conhecidos. Essa sobreposição introduz não apenas riscos financeiros e cibernéticos, mas também potenciais preocupações com a segurança física.
Pesquisadores observaram que os dados vazados são “operacionalmente relevantes”, indicando que podem ser usados ativamente para exploração, em vez de serem desatualizados ou incompletos. A presença de registros verificados e estruturados aumenta ainda mais seu valor em mercados subterrâneos.
O incidente destaca desafios contínuos de cibersegurança em organizações esportivas globais, onde grandes bancos de dados centralizados de informações pessoais e contratuais podem se tornar alvos de alto valor. À medida que grandes eventos internacionais se aproximam, esses conjuntos de dados tornam-se ainda mais atraentes para atores ameaçadores que buscam ganho financeiro ou interrupção.