Lituânia investiga vazamento de mais de 600 mil registros estatais com indícios de ator estatal estrangeiro

A Lituânia investiga um vazamento que comprometeu mais de 600.000 registros mantidos pelo Centro de Registros do Estado — incluindo nomes, datas de nascimento e números nacionais de identificação — em um incidente atribuído de forma preliminar a um ator estatal estrangeiro, com prejuízo inicial estimado em €111.000 e o pedido de demissão do diretor da agência responsável pelos sistemas afetados.

O que aconteceu

A Procuradoria-Geral da Lituânia anunciou na sexta-feira que está investigando um grande vazamento de dados que afetou os sistemas de registro do Estado lituano. Segundo as autoridades, os invasores obtiveram acesso não autorizado a mais de 600.000 registros administrados pelo Centro de Registros — a agência estatal responsável pelos cadastros de propriedade e de entidades legais do país.

O Centro de Registros confirmou em comunicado que os dados comprometidos incluem informações pessoais como nomes, datas de nascimento e números nacionais de identificação, além de informações imobiliárias como endereços, dados cadastrais e números de registro. Não foram expostos, segundo a agência, dados de contato, contas bancárias, informações de pagamento ou documentos oficiais como decisões judiciais e arquivos de medição cadastral.

O incidente foi detectado inicialmente em abril, mas a divulgação pública foi postergada em razão da investigação criminal em andamento. Adrijus Jusas, então diretor do Centro de Registros, pediu demissão na segunda-feira diante da pressão sobre o episódio. O prejuízo financeiro estimado supera €111.000 (US$ 129.000).

Como o ataque funciona

De acordo com os procuradores lituanos, o vazamento envolveu o uso indevido de credenciais legítimas atribuídas a instituições autorizadas a consultar as bases de dados. Em vez de explorar uma vulnerabilidade técnica direta no software de registro, os atacantes teriam aproveitado contas válidas para extrair informações em larga escala — um padrão clássico de abuso de acesso de terceiros que, em muitas jurisdições, exige integração entre órgãos públicos e parceiros privados.

Após detectar o incidente, as autoridades implementaram medidas adicionais de cibersegurança, incluindo o bloqueio de contas suspeitas de uso indevido e a exigência de atualização de credenciais por todos os usuários do sistema. O parlamentar Laurynas Kasciunas, líder da oposição conservadora e ex-ministro da Defesa, afirmou em rede social que o vazamento traz “as marcas de uma operação de inteligência russa”, embora sem apresentar provas, e sugeriu que contas comprometidas vinculadas ao Departamento de Migração da Lituânia podem ter sido utilizadas no ataque.

“Dada a sensibilidade da situação, decidi me afastar e passar a responsabilidade para outros profissionais.”

Adrijus Jusas, ex-diretor do Centro de Registros, ao anunciar sua renúncia

Em entrevistas a veículos locais, Jusas atribuiu o problema a anos de subinvestimento na infraestrutura de TI do Estado, afirmando que os sistemas precisariam de até €60 milhões (US$ 69,8 milhões) em modernizações para atingir padrões atuais de cibersegurança. Os procuradores não confirmaram nem desmentiram a possível participação russa, e nenhum grupo reivindicou o ataque até o momento.

Riscos e quem é afetado

Apesar de excluir dados financeiros e bancários, o conjunto exposto é particularmente sensível em contexto geopolítico. Endereços residenciais ligados a servidores públicos podem ser usados para vigilância, phishing direcionado, coerção ou planejamento de sabotagem em caso de crise. Os principais grupos de risco são:

• Funcionários públicos e militares lituanos, cujos endereços residenciais agora podem estar mapeados por um ator estrangeiro.
• Proprietários de imóveis registrados nas bases vazadas, expostos a fraudes imobiliárias e tentativas de impersonificação.
• Empresas com registros no Cadastro de Pessoas Jurídicas, vulneráveis a esquemas de fraude corporativa baseados nos dados extraídos.
• Instituições parceiras que compartilhavam credenciais com o sistema central, agora obrigadas a revisar todo o ciclo de acesso.

Análise

O caso lituano se encaixa em um padrão recorrente de ataques contra registros estatais no Leste Europeu. No ano passado, o sistema de registro de imóveis da Eslováquia sofreu um ataque cibernético que interrompeu serviços imobiliários e de construção em todo o país. Por volta da mesma época, hackers atribuídos à Rússia comprometeram registros estatais ucranianos, prejudicando temporariamente o acesso a serviços públicos essenciais ligados a documentos digitais. Em conjunto, esses incidentes desenham uma estratégia mais ampla, que vê os cadastros públicos como alvo estratégico de pressão híbrida.

A Lituânia, membro da OTAN e da União Europeia, faz fronteira com Belarus e com o enclave russo de Kaliningrado, e historicamente acusa Moscou de operações híbridas que combinam ataques cibernéticos, desinformação e sabotagem física. O vazamento dos registros, ainda que sem confirmação oficial sobre o autor, reforça a necessidade de tratar bases de dados governamentais com nível de proteção comparável ao de infraestrutura crítica — algo que, segundo o próprio ex-diretor do Centro de Registros, exigiria investimentos vultosos pendentes há anos.

Há ainda uma lição relevante para o setor público de outros países: o vetor de comprometimento foram credenciais legítimas de instituições parceiras. Cadeias de confiança entre órgãos governamentais tendem a operar com controles fracos de segregação, MFA inconsistente e tokens compartilhados. Sem uma postura zero trust voltada a essas integrações, o sistema mais fortificado pode ser comprometido por meio do parceiro mais fraco.

Recomendações práticas

• Implemente MFA forte e idealmente phishing-resistant (FIDO2/WebAuthn) para todas as contas com acesso a registros sensíveis.
• Reduza o tempo de vida de credenciais de integração e adote rotação automática de tokens.
• Monitore consultas em volume anômalo às bases — extração massiva costuma deixar pegadas detectáveis.
• Aplique princípio do menor privilégio: contas de terceiros não devem ter acesso amplo a todo o registro, apenas ao escopo necessário.
• Revise integrações com parceiros governamentais e exija logs de auditoria centralizados.
• Promova exercícios de tabletop com cenários de comprometimento via terceiro autorizado.
• Considere notificação obrigatória de incidentes para reguladores e cidadãos afetados, mesmo com investigação em curso.

Fonte: The Record