
O responsável pelo ataque aos sistemas internos da Disney em 2024, que envolveu roubo de dados e ameaças contra um funcionário da empresa, aceitou um acordo judicial com o Departamento de Justiça dos Estados Unidos.
Ryan Mitchell Kramer, também conhecido como “NullBulge”, vai se declarar culpado por dois crimes: invasão de computador para obtenção de dados e ameaça de danificar sistema protegido. Cada acusação pode render até cinco anos de prisão, somando uma pena máxima de 10 anos.
Segundo o documento divulgado pela promotoria da Califórnia (via Deadline), Kramer conseguiu acesso aos sistemas da empresa após um funcionário da Disney, identificado pelas iniciais M.V., baixar arquivos maliciosos disfarçados como arte gerada por inteligência artificial.
Com isso, o hacker assumiu o controle do computador pessoal de M.V. e, a partir dali, acessou os canais internos do Slack usados por milhares de funcionários. Ao todo, foram extraídos cerca de 1,1 Terabytes de dados confidenciais.
Extorsão e ameaças
Em julho de 2024, Kramer entrou em contato com M.V. por e-mail e Discord, se passando por um membro de um grupo fictício de hackers russos. Nas mensagens, ameaçava divulgar informações pessoais de M.V. e os arquivos da Disney, caso não recebesse uma resposta.
“Para garantir que essas informações não sejam divulgadas, preciso da sua cooperação”, dizia uma das mensagens, segundo o Departamento de Justiça. Em outro e-mail, enviado em 12 de julho, Kramer escreveu: “Responda, faça o que queremos ou vá parar na internet. Sua escolha. Não entraremos mais em contato.”
Depois que M.V. ignorou as ameaças, Kramer publicou os dados roubados em várias plataformas online, incluindo informações bancárias e médicas do funcionário. No dia 14 de julho, enviou mais um e-mail: “Só queria saber se agora você acredita na gente. Podemos retirar seus dados, mas não de graça. Nos avise.”
Consequências do ataque
O ataque levou a Disney a encerrar o uso do Slack internamente. Em nota, a empresa declarou: “Estamos satisfeitos por esse indivíduo ter sido formalmente acusado e ter concordado em se declarar culpado. Continuamos comprometidos em colaborar com as autoridades para que crimes cibernéticos sejam investigados.”
Kramer também teria invadido os sistemas de outras duas pessoas além de M.V., e o FBI ainda investiga essas ações. Ele deve comparecer ao tribunal federal em Los Angeles nas próximas semanas.
O acordo com a promotoria impõe a Kramer uma série de restrições sobre o uso de tecnologias e dispositivos conectados à internet, que deverão ser cumpridas mesmo após o cumprimento da pena.
Outro caso recente: ex-funcionário da Disney hackeou sistema de menus e incluiu conteúdo ofensivo
Além do ataque mais recente envolvendo Ryan Kramer, a Disney também foi alvo de outro incidente de segurança, revelado no início de 2025. Neste caso, o autor foi um ex-funcionário da própria empresa.
Michael Scheuer, que trabalhava como gerente de produção de menus, foi acusado de invadir o sistema interno da companhia após ser demitido por má conduta. Ele admitiu ter manipulado informações sensíveis ligadas aos menus dos restaurantes operados pela Disney, incluindo alterações nos dados de alérgenos, o que poderia ter colocado clientes em risco.
Segundo documentos divulgados pelo Departamento de Justiça, os ataques aconteceram ao longo de três meses. Scheuer modificou textos para deixá-los ilegíveis, trocando fontes por símbolos como “Wingdings”, e incluiu palavrões nos menus. Em uma das alterações mais graves, ele teria inserido símbolos nazistas e vinculado vinhos a locais de tiroteios em massa.
O ex-funcionário também lançou ataques contra colegas de trabalho e compartilhou na dark web os dados de acesso que usava para invadir o sistema da empresa.
Apesar de tudo, os menus alterados não chegaram a ser impressos nem distribuídos nos restaurantes. A defesa de Scheuer afirmou que ele enfrenta questões de saúde mental e que estava fragilizado após ser dispensado pela empresa pouco depois de retornar da licença-paternidade.
Scheuer firmou um acordo com a Justiça, concordando em pagar multa e ressarcir a Disney. A data para formalizar sua confissão ainda não foi definida.