Em 21 de julho de 2025, pesquisadores da Eye Security, em parceria com a Shadowserver Foundation, identificaram “ataques ativos” contra instâncias self-hosted do SharePoint Server da Microsoft. A falha permitia a implantação de backdoors, garantindo acesso persistente a dados corporativos sensíveis. Até aquele fim de semana, cerca de 100 organizações, sobretudo nos EUA e na Alemanha, incluindo órgãos governamentais, já haviam sido comprometidas.
Principais pontos do incidente
- Vetor de ataque: exploração de vulnerabilidade zero-day no SharePoint Server self-hosted;
- Impacto: possível instalação de backdoors e exfiltração de documentos confidenciais;
- Resposta da Microsoft: emissão de atualização de segurança no mesmo dia em que o alerta foi emitido;
- Apoio de autoridades: FBI e Centro Nacional de Segurança Cibernética do Reino Unido monitoraram o incidente em cooperação com a Microsoft.
Mas quais são os impactos legais e regulatórios?
Responsabilidade administrativa (LGPD)
A LGPD (Lei 13.709/2018) exige que controladores e operadores adotem medidas técnicas e administrativas eficazes para proteger dados pessoais contra acesso não autorizado e violações. Na prática:
- DPIA (Relatório de Impacto à Proteção de Dados): fundamental para sistemas que hospedam dados de clientes e parceiros, como SharePoint utilizado para colaboração interna;
- Comunicação de incidente: obrigatória em até 72 horas à ANPD, sob pena de multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração.
Compliance de TI e requisitos contratuais
Empresas reguladas (bancos, fintechs, healthtechs) também devem observar normas setoriais, como a Resolução CMN 4.658/2018 (gestão de riscos de TIC) e mecanismos de governança exigidos por reguladores como Bacen ou Anvisa.
Lições jurídicas para empresas de tecnologia
- Gestão de vulnerabilidades e patches
Estabeleça processos automáticos de aplicação de patches críticos em até 48 horas após a liberação;
Mantenha um inventário atualizado de todos os servidores on-premises e em nuvem.
- Contratos de software e SLA de segurança
Insira cláusulas que obriguem o fornecedor a notificar em “tempo real” sobre vulnerabilidades e atualizações de segurança;
Defina penalidades e níveis de serviço (SLA) para correção de falhas críticas.
- Plano de resposta a incidentes (IRP)
Documente fluxos de contenção, erradicação e recuperação específicos para ataques a infraestruturas de TI on-premises;
Prepare templates de comunicação para ANPD, órgãos reguladores setoriais e stakeholders.
- Monitoração e threat intelligence
Contrate serviços de “managed detection” para identificar varreduras de rede e comportamento anômalo em SharePoint;
Integre feeds de inteligência (por exemplo, Shadowserver, CERT.br) ao seu SIEM.
Boas práticas de governança de dados
- Mapeamento de dados: identifique onde documentos sensíveis são armazenados e quem tem acesso;
- Classificação da informação: defina níveis de criticidade (público, interno, confidencial, restrito) e aplique controles compatíveis;
- Auditoria contínua: agende pentests semestrais e revisões trimestrais de logs de acesso e alterações de configuração.
Plano de ação recomendado
Reforço contratual
Renegocie contratos com fornecedores de TI, incluindo cláusula de “right to audit” e SLA de segurança;
Implementação de Ferramentas
Adote soluções de EDR/XDR e monitoração de vulnerabilidades em tempo real;
Para concluir, o ataque zero-day ao Microsoft SharePoint evidencia que nenhuma organização, por maior que seja sua estrutura, está livre de riscos cibernéticos. Para empresas de tecnologia e startups em fase de operação ou maturidade, o tripé jurídico-técnico–governança é fundamental:
- Jurídico – Contratos claros e compliance regulatório (LGPD, normas setoriais).
- Técnico – Gestão ágil de vulnerabilidades, SIEM/XDR e threat intelligence.
- Governança – Políticas, auditorias contínuas e cultura organizacional de segurança.
Adotar essas práticas não só mitiga riscos, mas fortalece a confiança de clientes, investidores e parceiros, assegurando a perenidade e a reputação da sua empresa no mercado.