Hackers ucranianos roubaram mais de 600.000 contas Roblox e ganharam quase 250.000 dólares com vendas de criptografia

Um importante caso de cibercrime surgiu na Ucrânia depois de as autoridades do Oblast de Lviv terem detido um grupo de piratas informáticos acusado de roubar contas de jogos e de as revender a compradores na Rússia, gerando um lucro de quase 10 milhões de UAH (cerca de 240 000 a 250 000 dólares). De acordo com o Gabinete do Procurador-Geral da Ucrânia, os suspeitos visavam perfis de jogos em linha - principalmente ligados ao Roblox - e rentabilizavam as contas roubadas através de mercados clandestinos.

Os investigadores afirmam que a operação foi organizada por um jovem de 19 anos, residente em Drohobych, juntamente com dois cúmplices de 21 e 22 anos. O grupo era alegadamente especializado em obter acesso não autorizado a contas de jogos que continham itens digitais valiosos, moeda do jogo e coleccionáveis raros que poderiam mais tarde ser revendidos por criptomoeda ou dinheiro.

De acordo com as autoridades policiais, os piratas informáticos concentraram-se sobretudo no Roblox, uma das maiores plataformas de jogos do mundo, com milhões de utilizadores activos, muitos dos quais crianças e adolescentes. A economia da plataforma gira em torno de cosméticos digitais, conteúdos gerados pelos utilizadores e a moeda virtual Robux, que pode ter um valor significativo no mundo real em mercados secundários. Esta economia digital em crescimento tornou-se ainda mais importante recentemente, uma vez que o Roblox tem vindo a concentrar-se cada vez mais em públicos mais velhos e em jogadores adultos que gastam mais, introduzindo alterações destinadas a aumentar a monetização e as receitas dos programadores em toda a plataforma.

As autoridades afirmam que os suspeitos utilizaram ficheiros de cookies roubados e malware para roubar credenciais para contornar as palavras-passe e obter acesso direto às contas dos jogadores. Uma vez lá dentro, alegadamente procuravam perfis com activos digitais caros ou grandes saldos de Robux antes de os colocarem à venda em fóruns russos e comunidades online fechadas.

A escala da operação parece ser enorme. Os relatórios indicam que mais de 600.000 contas Roblox podem ter sido comprometidas entre outubro de 2025 e janeiro de 2026. Durante as buscas, os investigadores terão descoberto centenas de ficheiros contendo dados de contas roubadas, juntamente com computadores, dispositivos de armazenamento, telefones, cartões bancários e grandes quantidades de dinheiro em euros e dólares americanos.

Os investigadores em matéria de cibersegurança referem que as contas de jogo se tornaram um alvo cada vez mais lucrativo para os piratas informáticos nos últimos anos. Ao contrário das fraudes financeiras tradicionais, os perfis de jogos roubados são frequentemente mais fáceis de rentabilizar e podem ser vendidos rapidamente através de plataformas de comércio no mercado negro. Os jogos populares com economias virtuais activas são especialmente vulneráveis.

Nos últimos anos, a plataforma também tem enfrentado uma crescente controvérsia em torno da segurança e da moderação. Relatórios anteriores que envolviam a proibição de um YouTuber, centrados na exposição de alegados predadores no Roblox, suscitaram debates mais alargados sobre a forma como a empresa lida com a proteção da comunidade, os sistemas de moderação e a segurança dos utilizadores.

Mais recentemente, a Roblox anunciou planos para introduzir contas dedicadas a crianças com controlos parentais adicionais e funcionalidades de segurança, sinalizando que a empresa está sob pressão crescente para reforçar a proteção dos utilizadores mais jovens na plataforma.

Isto é particularmente verdade no Roblox, onde os perfis raros podem aumentar drasticamente o valor de uma conta. Alguns perfis de alto nível são vendidos por centenas ou mesmo milhares de dólares, dependendo do inventário e do historial da conta.

Esta tendência não se limita apenas aos jogos, uma vez que riscos semelhantes também foram observados no espaço criptográfico mais amplo, onde explorações em grande escala , como o hack do Drift Protocol, resultaram em perdas de centenas de milhões de dólares, mostrando como os sistemas de valor digital permanecem altamente vulneráveis em todos os sectores.

O caso também destaca um problema crescente nos ecossistemas de jogos online: a intersecção entre jogos, economias digitais e cibercrime. As plataformas multijogador modernas funcionam agora quase como ecossistemas financeiros, com objectos virtuais com valor de mercado no mundo real. Consequentemente, os piratas informáticos tratam cada vez mais as contas de jogos da mesma forma que os cibercriminosos tratavam as credenciais bancárias online.

Os especialistas em segurança acreditam que os suspeitos distribuíam malware disfarçado de cheats, melhoramentos de jogos ou geradores de Robux gratuitos - uma tática comum frequentemente utilizada contra públicos mais jovens que não estão familiarizados com os riscos de cibersegurança. As vítimas instalavam inadvertidamente software malicioso que recolhia dados de início de sessão, cookies do browser e informações da sessão dos seus dispositivos.

O incidente surge numa altura em que a Roblox já está a ser alvo de um escrutínio mais alargado sobre a segurança da plataforma, a proteção das contas e os sistemas de moderação. Nos últimos meses, as discussões sobre a segurança das crianças, a segurança das contas e a exploração em linha no Roblox intensificaram-se a nível mundial, levando a empresa a introduzir sistemas de verificação e políticas de moderação mais rigorosos.

A plataforma está também a enfrentar críticas crescentes e desafios legais sobre as suas decisões de moderação de conteúdos, práticas de segurança e tratamento de conteúdos gerados pelos utilizadores, com reguladores e grupos de defesa a questionarem se as actuais protecções são suficientes para a sua enorme audiência menor de idade.

Para os jogadores e os pais, o caso relembra como as contas de jogo se tornaram valiosas - e como são vulneráveis sem uma segurança adequada. Os especialistas recomendam ativar a autenticação de dois factores, evitar mods não oficiais ou cheats e utilizar palavras-passe únicas.

A polícia ucraniana continua a investigar a operação, com os suspeitos a poderem vir a enfrentar graves acusações de cibercrime. O caso também destaca a forma como as economias dos jogos modernos transformaram itens virtuais em activos financeiros reais, tornando as plataformas de jogos um alvo cada vez mais atrativo para os cibercriminosos. À medida que os mercados digitais crescem, a proteção das contas de jogo está a tornar-se tão importante como a proteção das contas financeiras.