A violação de dados que afetou o Centro de Registros da Lituânia é um dos ataques cibernéticos estatais mais graves da história europeia. Hackers — suspeitos de agir em nome de um Estado hostil — roubaram registros de aproximadamente 600.000 cidadãos lituanos, equivalentes a quase um quinto de toda a população. A violação veio a público entre os dias 25 e 27 de maio de 2026, expondo nomes, códigos de identificação pessoal, datas de nascimento e dados de propriedade imobiliária — e pode ter comprometido os endereços de pessoal dos serviços de inteligência e das forças de segurança.
Violação de dados na Lituânia: o que foi roubado do Centro de Registros
O Centro de Registros (Registrų centras) é uma empresa estatal que mantém as principais bases de dados civis e de propriedade da Lituânia. Armazena informações juridicamente sensíveis sobre praticamente todos os cidadãos adultos: números de identificação pessoal (asmens kodas), histórico de propriedade, endereços e dados biográficos. Os atacantes extraíram registros de cerca de 600.000 indivíduos — aproximadamente 20% da população lituana de 2,9 milhões de habitantes — numa operação que os investigadores consideram coordenada e patrocinada por um Estado.
O aspecto mais alarmante é a potencial exposição de dados pessoais de membros do Departamento de Segurança do Estado (VSD), da polícia e da inteligência militar. As autoridades alertaram que o conjunto de dados roubado provavelmente inclui endereços pessoais e códigos de identificação de pessoas em funções sensíveis de segurança, criando riscos que vão muito além do roubo de identidade comum.
Como o ataque foi possível: credenciais roubadas do Departamento de Migração
A análise forense inicial apontou para uma falha de segurança fundamental: as contas dos funcionários do Centro de Registros não contavam com autenticação de dois fatores. Os investigadores acreditam que os atacantes utilizaram credenciais comprometidas — provavelmente obtidas por phishing ou credential stuffing — para obter acesso direto aos bancos de dados de produção. A ausência de 2FA significou que não havia barreira secundária para impedir a intrusão após a obtenção dos dados de acesso.
O ataque destaca uma vulnerabilidade recorrente na infraestrutura de TI governamental: a dependência de autenticação por nome de usuário e senha para sistemas que armazenam os dados civis mais sensíveis. Pesquisadores de segurança observaram que o 2FA obrigatório em todas as contas privilegiadas poderia ter prevenido ou atrasado significativamente a violação.
O presidente da Lituânia culpa Estados hostis
O presidente lituano Gitanas Nauseda atribuiu publicamente o ataque a um «Estado hostil», um termo que no contexto báltico é amplamente entendido como referência à Rússia. A Lituânia é uma das críticas mais veementes do Kremlin na UE e na OTAN, e suas instituições estatais têm enfrentado operações cibernéticas persistentes há anos. A declaração do presidente foi inusualmente direta para um chefe de Estado em exercício, refletindo a gravidade da violação e suas potenciais implicações para a segurança nacional.
O diretor Adrijus Jusas demitiu-se sob pressão da Primeira-Ministra e do Ministro da Economia. As autoridades lituanas abriram um inquérito criminal, com a coordenação entre promotores e o Departamento de Segurança do Estado. O governo anunciou uma auditoria abrangente da implementação do 2FA em todas as instituições estatais.
Por que esta violação é diferente das fugas de dados típicas
A maioria das violações de dados em larga escala tem como alvo entidades comerciais para fins financeiros. O caso lituano é estruturalmente diferente. O Centro de Registros detém dados autorizados e legalmente verificados que os cidadãos não podem modificar. Um cidadão não pode simplesmente «mudar o seu código pessoal» da forma como redefiniria uma senha vazada. Os números de identificação e datas de nascimento roubados permanecem válidos e utilizáveis para solicitudes fraudulentas de documentos, engenharia social e assédio direcionado por tempo indeterminado.
A possível inclusão de endereços do pessoal de segurança introduz uma dimensão de risco físico: adversários estatais com registros detalhados de endereços de oficiais de inteligência podem usar esses dados para vigilância, chantagem ou pior. Casos como este ilustram por que pesquisadores de segurança recomendam cada vez mais o uso de VPNs para limitar a exposição de dados pessoais online.
