Em fevereiro de 2024, a DemandScience, uma subsidiária da Pure Incubation focada em serviços de marketing B2B e geração de leads, sofreu uma violação de dados significativa. O ataque, realizado pelo hacker “KryptonZambie,” expôs cerca de 180 milhões de registos que incluíam dados de contacto profissionais, como e-mails, números de telefone, endereços físicos, cargos e perfis de LinkedIn. Estes dados, com origem em fontes públicas e bases de dados de contactos empresariais, foram armazenados num sistema “legacy” desactivado, sem as devidas actualizações de segurança, o que facilitou o acesso do actor de ameaças. Sabe-se que diversas empresas portuguesas constam nesta exfiltração.

Aparentemente, o hacker colocou o conjunto de dados à venda por cerca de US$5.000 num fórum de hackers. A exfiltração, pela amplitude de dados e impacto potencial, criou grande preocupação na comunidade de cibersegurança, o que destaca a necessidade de medidas robustas para proteger dados empresariais e prevenir ataques. A DemandScience utiliza estes dados para apoiar empresas na expansão de seu alcance de mercado e na identificação de leads empresariais, sendo que a violação comprometeu informações sensíveis de milhões de utilizadores e empresas.

Este ataque destaca a existência de vulnerabilidades em infraestruturas tecnológicas antigas e na protecção de dados pessoais e empresariais.