Um vazamento na fintech Figure Technology Solutions expôs dados de 967.200 contas, segundo informações reunidas por serviços de notificação e citadas pelo BleepingComputer.
A notícia aponta social engineering (engenharia social) como parte do incidente — um lembrete de que ataques modernos miram pessoas, processos e identidade tanto quanto sistemas.
A Figure Technology Solutions, empresa descrita como uma fintech “blockchain-native”, teve seus sistemas violados e dados pessoais/contato de contas de usuários foram roubados.
Embora a empresa não tenha feito uma divulgação pública detalhada no mesmo molde de um comunicado formal (segundo a matéria), um porta-voz afirmou que atacantes obtiveram “um número limitado de arquivos” e atribuiu o incidente a social engineering (engenharia social).
O ponto mais concreto sobre a escala veio do Have I Been Pwned, citado na reportagem: dados de 967.200 contas teriam sido roubados e posteriormente publicados online.
De acordo com a mesma fonte, os dados expostos incluem mais de 900 mil e-mails únicos, além de nomes, telefones, endereços físicos e datas de nascimento — e são descritos como dados “datando de janeiro de 2026”.
Em termos simples: não é só “lista de e-mails”. É um conjunto de informações pessoais que pode ser usado como combustível para golpes mais convincentes.
O impacto direto recai sobre pessoas que tiveram seus dados associados a contas na plataforma (a reportagem menciona inclusive dados alegadamente ligados a milhares de candidatos a empréstimo).
Mas existe também um impacto indireto: quando um pacote desses aparece publicamente, o risco não fica “preso” à plataforma original. Ele se espalha.
Por quê? Porque informações pessoais reais ajudam criminosos a “passar no teste do bom senso” — o golpe deixa de parecer genérico e começa a parecer “sobre você”.
É como receber uma mensagem que acerta seu nome, cidade e telefone: o cérebro pensa “ok, isso parece legítimo”. E é exatamente aí que mora o perigo.
A matéria atribui o incidente a engenharia social, com a informação de que um funcionário teria sido enganado e fornecido acesso.
Ela também registra que o grupo ShinyHunters reivindicou responsabilidade e adicionou a empresa a um site de vazamentos, além de citar um volume de dados (2,5GB) publicado/alegado.
Como contexto adicional (sem dizer que foi exatamente o mesmo mecanismo aqui), a reportagem menciona campanhas recentes em que atacantes fazem vishing (golpe por ligação) se passando por TI/suporte e induzem pessoas a inserir credenciais e códigos de MFA (autenticação em múltiplos fatores) em páginas falsas.
Esse tipo de abordagem costuma ter alguns sinais clássicos:
Você não precisa virar paranoico. Só precisa tratar isso como processo: suporte de verdade não pede “o código do seu autenticador” por telefone.
Neologik Safe apoia empresas a reduzir o risco que nasce exatamente nesse tipo de caso: ataques que exploram credenciais, MFA e o fator humano.
Na prática, ajuda a organizar governança de controles, monitoramento de sinais e resposta a incidentes com playbook — para que a empresa não dependa de “sorte” quando a engenharia social bater na porta. Saiba mais em https://neologik.com.br/solucoes#safe
[BleepingComputer] (18/02/2026) — https://www.bleepingcomputer.com/news/security/data-breach-at-fintech-firm-figure-affects-nearly-1-million-accounts/amp/
