Falha de segurança e violação de dados pessoais no Habbo Hotel
Não respondida
São Paulo - SP
31/12/2025 às 17:37
ID: 236325209
Falha grave de segurança e violação de dados pessoais no Habbo Hotel - responsabilidade da Sulake Oy
Registro esta reclamação diretamente contra a SULAKE OY (Sulake Corporation Ltd.), empresa controladora e responsável pela operação do Habbo Hotel, em razão de grave falha de segurança que resultou na invasão da minha conta e violação de dados pessoais.
No dia 31/12/2025, minha conta no Habbo Hotel foi comprometida após uma sequência de eventos críticos ocorridos em questão de minutos. Às 16h28, recebi um e-mail automático informando a alteração das configurações de autenticação de dois fatores (2FA), modificação que não foi realizada por mim. Poucos minutos depois, às 16h31, recebi novo e-mail informando a troca do e-mail vinculado à conta para um endereço desconhecido, também sem minha autorização.
Embora a própria plataforma tenha detectado e notificado alterações de alto risco, nenhuma medida técnica eficaz de contenção ou mitigação foi adotada, tais como:
bloqueio temporário da conta;
confirmação reforçada no e-mail original;
período de carência para efetivação das alterações;
possibilidade de reversão imediata.
As comunicações enviadas foram meramente informativas, não oferecendo tempo hábil ou meios técnicos adequados para impedir a progressão do ataque. Como consequência, perdi completamente o controle da conta.
Ressalto que a responsabilidade por esses fatos não se limita à marca Habbo, mas recai sobre a Sulake Oy, enquanto controladora do serviço e dos dados pessoais, responsável pelas decisões estruturais de segurança da plataforma. Trata-se de falha sistêmica nos mecanismos de proteção de dados e na governança de segurança da informação.
Diante da gravidade do ocorrido, informo que:
A situação já foi denunciada à Autoridade Nacional de Proteção de Dados (ANPD), com base na LGPD;
Também foi formalizada denúncia à autoridade de proteção de dados da Finlândia, nos termos do GDPR, a qual já confirmou o recebimento e a tramitação do caso.
Solicito da Sulake:
Análise técnica detalhada do incidente ocorrido;
Restabelecimento da conta, com reversão das alterações indevidas;
Esclarecimentos formais sobre como foi possível a alteração de 2FA e de e-mail sem salvaguardas eficazes;
Adoção de medidas corretivas para evitar recorrência desse tipo de falha.
A expectativa mínima é que uma empresa internacional, sujeita à legislação europeia e brasileira de proteção de dados, ofereça mecanismos de segurança compatíveis com a sensibilidade das informações tratadas.
Aguardo posicionamento.