Uma empresa de ciberseguranca contratada para proteger redes corporativas foi hackeada em abril de 2026 - nao por malware sofisticado, mas porque suas contas de administrador nao tinham autenticacao multifator. A violacao da BePrime expos transmissoes ao vivo de cameras de vigilancia de algumas das maiores corporacoes da America Latina, incluindo Iberdrola, ArcelorMittal e Alsea, a operadora do Starbucks e do Domino's na regiao.
12,6 GB vazados, 1.858 dispositivos comprometidos
Um agente de ameaca conhecido como "dylanmarly" invadiu a BePrime, empresa de ciberseguranca e conectividade de rede sediada em Nuevo Leon, Mexico, em 20 de abril de 2026. O atacante vazou mais de 12,6 GB de dados, incluindo chaves API, configuracoes de rede e credenciais administrativas. Em seguida, tomou o controle de 1.858 dispositivos de rede - switches, roteadores e pontos de acesso - afetando mais de 2.600 endpoints conectados em toda a base de clientes da BePrime.
O vetor de ataque: sem MFA nas contas admin
O ponto de entrada nao foi um exploit de dia zero nem uma ameaca persistente avancada. As contas de administrador privilegiadas da BePrime simplesmente nao tinham autenticacao multifator habilitada. O atacante simplesmente fez login. Este e um dos falhos mais basicos em higiene de ciberseguranca - e neste caso deu a uma unica pessoa acesso total as redes de dezenas de grandes clientes corporativos simultaneamente.
Feeds de cameras ao vivo expostos em tempo real
A BePrime gerenciava sistemas de videovigilancia Cisco Meraki Vision para seus clientes. Uma vez na rede, o atacante obteve as chaves API necessarias para acessar o painel do Meraki. As capturas de tela publicadas como prova mostravam feeds ativos de cameras monitorando espacos de trabalho e instalacoes em tempo real. Funcionarios da Iberdrola, ArcelorMittal, Whirlpool e Alsea estavam sendo observados em tempo real por um terceiro nao autorizado, sem saber.
Risco da cadeia de suprimentos: uma violacao, muitas vitimas
Os clientes afetados incluem grandes multinacionais: Iberdrola (energia global), ArcelorMittal (o maior produtor de aco do mundo), Whirlpool e Alsea - o operador latino-americano do Starbucks, Domino's Pizza e restaurantes Vips. Cada um confiou a BePrime o gerenciamento de infraestrutura de rede critica. Uma unica violacao no nivel do fornecedor comprometeu todos simultaneamente - nenhum deles cometeu qualquer erro de seguranca por conta propria.
A resposta: ameacas juridicas contra jornalistas
Quando jornalistas investigativos noticiaram a violacao, a BePrime nao respondeu com transparencia nem com notificacao imediata aos clientes. Em vez disso, a empresa ameacou com acoes legais os reporters que cobriam a historia. Essa reacao - silenciar a cobertura mediatica em vez de abordar a vulnerabilidade - e em si um sinal de alerta sobre como a empresa lida com as responsabilidades de seguranca que seus clientes lhe confiaram.
