Alexander Coelho*
A Microsoft emitiu um alerta global após detectar ataques cibernéticos ativos explorando uma falha crítica (zero-day) no SharePoint Server, ferramenta amplamente utilizada por empresas para gestão documental e colaboração interna. A vulnerabilidade (CVE‑2025‑49706) permitiu que hackers instalassem backdoors nos sistemas comprometidos, possibilitando acesso persistente aos dados armazenados.
Segundo a Microsoft e órgãos de segurança como a CISA (Cybersecurity and Infrastructure Security Agency), mais de 100 organizações já foram afetadas, incluindo agências governamentais e grandes corporações da Europa e América do Norte. A falha atinge servidores on-premises — isto é, mantidos e operados dentro da infraestrutura própria das empresas. O ambiente em nuvem do SharePoint (SharePoint Online) não foi impactado.
A exploração dessa brecha revela um risco estrutural que muitas empresas insistem em subestimar: a dificuldade de manter ambientes locais devidamente atualizados, monitorados e protegidos. Enquanto soluções em nuvem contam com correções automáticas e defesa contínua, a versão instalada localmente depende de gestão ativa — que, quando negligenciada, torna-se porta de entrada para violações graves.
A Microsoft já disponibilizou atualizações emergenciais para o SharePoint Server 2019 e a versão Subscription Edition. Entretanto, nenhum patch ainda foi liberado para o SharePoint Server 2016, o que motivou a recomendação oficial de desconectar essas instâncias da internet imediatamente.
Alexander Coelho é especialista em Direito Digital e Inteligência Artificial
Divulgação/M2 Comunicação
No Brasil, empresas que operam com servidores vulneráveis e que armazenam dados pessoais estão sujeitas às sanções da Lei Geral de Proteção de Dados (LGPD). A omissão em aplicar as correções disponibilizadas ou falhas na resposta a incidentes podem ser interpretadas como negligência, comprometendo a boa-fé e o dever de segurança exigido pelo artigo 6º, inciso VII, da LGPD.
Além disso, em caso de incidente com impacto relevante, há a obrigação legal de comunicação à ANPD e aos titulares dos dados afetados (art. 48 da LGPD), sob pena de aplicação de sanções administrativas e prejuízo reputacional.
Este episódio reforça o que especialistas já vêm alertando há anos: confiar exclusivamente em infraestrutura própria sem um plano robusto de atualização, backup e resposta a incidentes é uma escolha de alto risco — técnico e jurídico. A crescente complexidade dos ataques exige estratégias de segurança cibernética com foco em resiliência, auditoria contínua e abordagem preventiva.
Ao final, fica uma pergunta incômoda: se sua empresa ainda mantém sistemas on-premises críticos sem monitoramento ativo e sem resposta rápida a vulnerabilidades, será que o próximo alerta da Microsoft não será sobre você?
*Alexander Coelho é advogado, sócio do escritório Godke Advogados e da Godke Data Protection & Privacy. Especialista em Direito Digital, Proteção de Dados e Cibersegurança, é membro da Comissão de Inteligência Artificial e Privacidade da OAB/SP. Atua como DPO as a Service para empresas de médio e grande porte.
Informações à imprensa
