Vazamento da Aflac Japão atinge 4,38 milhões de clientes após dez dias de acesso indevido ao portal de apólices

A Aflac Life Insurance Japan, subsidiária da gigante americana de seguros Aflac, confirmou nesta terça-feira (30) o vazamento de dados pessoais de aproximadamente 4,38 milhões de clientes e agentes. Os invasores acessaram o portal de apólices da seguradora múltiplas vezes entre 15 e 25 de junho, antes que a intrusão fosse detectada. A subsidiária japonesa diz que a operação americana da Aflac não foi afetada, mas pelo menos cinco serviços ao cliente continuam suspensos no Japão.

O que aconteceu

A divulgação foi feita em filing oficial à US Securities and Exchange Commission (SEC). Segundo o documento, os sistemas da Aflac Japão foram comprometidos pela primeira vez em 15 de junho, e os atacantes mantiveram acesso por dez dias até serem identificados em 25 de junho — uma janela suficiente para acessar o portal repetidamente e exfiltrar dados.

“Ao identificar o acesso não autorizado, a Aflac Japan tomou imediatamente medidas para conter o incidente e prevenir nova intrusão, incluindo a suspensão de determinados sistemas”, afirmou a empresa em comunicado. A investigação segue em curso com apoio de empresas terceirizadas de cibersegurança, e as autoridades regulatórias japonesas foram notificadas.

O incidente está restrito a sistemas da Aflac Japão e, de acordo com a companhia, não atinge sistemas relacionados ao negócio americano. Ainda assim, o impacto operacional é considerável: pelo menos cinco serviços ao cliente foram derrubados, e a Aflac Japão diz que, por ora, não consegue estimar quando todos serão restabelecidos.

Que dados vazaram

De acordo com a empresa, os atacantes exfiltraram informações do portal de apólices envolvendo cerca de 4,38 milhões de pessoas, entre clientes e agentes. Os campos comprometidos incluem:

• Nome completo
• Endereço residencial
• Telefone
• Data de nascimento
• Gênero
• Informações de segurança da conta (provavelmente respostas e perguntas de validação)
• Informações sobre a apólice de seguro

Mais grave: cerca de 230 mil pessoas tiveram suas informações de conta para débito automático do prêmio do seguro expostas. A Aflac afirma que dados de cartão de crédito não foram acessados. A composição exata varia por indivíduo — cada cliente afetado receberá uma carta de notificação com detalhes específicos do que vazou em seu caso.

“O tipo de informação exposta varia conforme o indivíduo, e cada cliente receberá uma carta de notificação contendo detalhes específicos sobre o que foi comprometido”, informou a Aflac Japão em FAQ publicado no próprio site, em meio à interrupção de serviços online.

Impacto e riscos para as vítimas

Mesmo sem dados de cartão de crédito, o pacote vazado é um prato cheio para campanhas de fraude e engenharia social. A combinação de nome, endereço, telefone, data de nascimento e número de apólice permite ataques altamente direcionados — e, no Japão, onde fraudes de “filho em apuros” e golpes de seguros são comuns, o material agrava o risco para os mais velhos, que representam parcela relevante da base da Aflac.

• Phishing temático de seguro: e-mails e SMS se passando pela própria Aflac, citando dados reais da apólice da vítima
• Vishing (golpes por telefone) com dados pessoais legítimos, técnica historicamente eficaz no Japão
• Fraude bancária via débito automático para as 230 mil pessoas com informações de conta expostas
• Account takeover em outros serviços que usem nome + data de nascimento como fatores de recuperação
• Reidentificação cruzada com bases anteriores já vazadas no Japão (como o caso da NTT Communications em 2024)

Análise

O incidente segue um padrão recorrente em 2026: seguradoras voltam ao topo da lista de alvos. Vimos isso este ano com o ataque ao grupo NAIC (Associação dos Reguladores de Seguros dos EUA) via PeopleSoft, a violação contínua da Klue e o próprio comprometimento da Aflac matriz em junho de 2025. Seguradoras concentram, no mesmo banco, dados de identidade quase completos somados a histórico financeiro e médico — um perfil que vale mais no mercado clandestino do que dados de cartão isolados, e que tem prazo de validade longuíssimo: nome e data de nascimento não rotacionam.

A janela de dez dias entre invasão e detecção também merece reflexão. Em um portal de apólices voltado ao público, picos anômalos de acesso, alterações em dados de clientes ou queries massivas deveriam acionar alertas em minutos, não em dias. O caso reforça a necessidade de monitoramento de comportamento de aplicação (RASP/DAST contínuo) e analytics em queries de banco, mais do que dependência exclusiva de firewall e WAF na borda.

Vale também observar a delimitação cuidadosa: “não afeta os sistemas da operação americana”. É uma sinalização típica para investidores e para reguladores como a SEC, mas também indica algum nível de segmentação entre as subsidiárias — algo que nem sempre é regra em conglomerados internacionais. Quando o BlackCat atacou a MGM em 2023, o problema foi justamente a ausência dessa segmentação. A Aflac parece ter feito a lição de casa nesse ponto.

Recomendações práticas

• Para clientes afetados: aguardar a carta oficial e jamais clicar em links de e-mails ou SMS supostamente da Aflac até confirmar autenticidade por canal alternativo
• Reforçar respostas de segurança em outros serviços bancários e de seguro — assumir que perguntas como “qual sua cidade natal” ou “data de nascimento” não são mais segredos
• Para as 230 mil pessoas com conta bancária exposta: monitorar débitos não autorizados e considerar troca da conta atrelada ao débito automático
• Para equipes de segurança em seguradoras: implementar detecção de exfiltração de dados em portais voltados ao cliente, com baseline de queries por sessão
• Adotar tokenização ou data masking nos campos sensíveis dos portais de apólice — o cliente raramente precisa ver o próprio número de conta bancária em texto cru
• Revisar o tempo de retenção de logs de auditoria — janelas de 10 dias só são detectáveis se os logs cobrirem ao menos 30 dias com granularidade adequada
• Executar tabletop exercises focados em incidentes que afetem subsidiárias internacionais, com fluxos de comunicação entre matriz e filial pré-definidos

Fonte: SecurityWeek