A Udemy entrou no radar do grupo de extorsão ShinyHunters, que afirma ter obtido mais de 1,4 milhão de registros ligados à plataforma de ensino online. Até o momento, porém, a alegação não foi confirmada publicamente pela empresa, e não havia dataset publicado que permitisse validar o alcance real do suposto incidente.
A reivindicação apareceu em 24 de abril de 2026 no site de vítimas operado pelo grupo. Na mensagem, os criminosos disseram ter comprometido dados pessoais e informações corporativas internas, acompanhando a ameaça com um ultimato do tipo “pay or leak”, prática comum em operações modernas de extorsão sem criptografia de sistemas.
O ponto mais delicado do caso é justamente a ausência de provas públicas. Segundo a apuração, o ShinyHunters não divulgou amostras, capturas de tela ou outros elementos técnicos que sustentassem a acusação naquele momento, o que impede tratar o vazamento como fato consumado.
Ainda assim, o volume citado chama atenção. A Udemy tinha cerca de 77 milhões de alunos em 2024, e um conjunto de 1,4 milhão de registros, se autêntico, já seria suficiente para alimentar campanhas de phishing, fraude direcionada e mapeamento profissional de usuários com base em cursos, áreas de interesse e progressão de carreira.
Outro fator de risco é a incerteza sobre quem estaria incluído na base alegadamente afetada. Não está claro se os registros mencionados envolveriam apenas alunos, ou também instrutores, funcionários e dados corporativos internos, o que muda bastante a gravidade operacional e regulatória do episódio.
