No último dia 30 de outubro, cibercriminosos anunciaram a venda de supostos dados da holding educacional Cruzeiro do Sul. Segundo a publicação, o material obtido totalizaria mais de três milhões de registros, incluindo 100 mil credenciais ativas de alunos e funcionários. O vazamento teria afetado 11 instituições subsidiárias do grupo, que confirmou a possibilidade de invasão e início das investigações ao TecMundo.
Entre as supostas informações obtidas ilegalmente, conforme sugere a própria publicação, há material mais que suficiente para golpes e até mesmo fraudes financeiras. Segundo os criminosos, os arquivos incluem: nomes completos, CPFs, data de nascimento, e-mails, celulares e carteirinha da organização. Todas essas informações teriam sido vazadas diretamente de um banco de dados estudantis e de sistemas de suporte ao cliente (CRMs).
Conforme detalha a publicação, as seguintes instituições teriam sido afetadas:
- Cruzeiro do Sul (https://www.cruzeirodosul.edu.br/)
- Centro Universitário Braz Cubas (https://www.brazcubas.edu.br/)
- Unicid (https://www.unicid.edu.br/)
- Universidade de Franca, Unifran (https://www.unifran.edu.br/)
- Centro Universitário UDF (https://www.udf.edu.br/)
- Universidade Positivo (https://www.up.edu.br/)
- Centro Universitário de João Pessoa (https://www.unipe.edu.br/)
- Centro Universitário FSG (https://www.fsg.edu.br/)
- Centro Universitário de N. Sra. de Patrocínio (https://www.ceunsp.edu.br/)
- Centro Universitário de Pinhais (https://www.fapipinhais.edu.br/)
- Centro Universitário Módulo (https://www.modulo.edu.br/)
Como suposta prova de invasão, os cibercriminosos anexaram uma extensa amostra dos dados, contendo o que parecem ser informações sensíveis de pessoas afetadas pelo vazamento. Investigando o perfil responsável pela publicação, nomeado “darkhackbreach”, há poucas informações relevantes, já que a conta foi criada apenas para realizar este anúncio – uma medida bastante comum em fóruns ilegais, usada para evitar rastros ou ligações anteriores.
Cruzeiro do Sul confirma investigação do caso ao TecMundo
Durante a apuração do caso, o TecMundo entrou em contato com a Cruzeiro do Sul por meio de um e-mail dedicado à imprensa. Quando questionada sobre o vazamento, bem sua origem, a empresa não negou ou confirmou sua veracidade.
Em seu comentário oficial, no entanto, a Cruzeiro do Sul reconhece a possibilidade de invasão aos seus sistemas: “A Cruzeiro do Sul Educacional informa que tomou ciência de um possível acesso a dados sob sua responsabilidade e já iniciou todos os protocolos de segurança, conforme exigido pela legislação brasileira e suas políticas internas.”
Por fim, acrescenta: “A Companhia possui um Programa de Privacidade e Proteção de Dados Pessoais robusto, alinhado à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), que estabelece políticas, controles e procedimentos voltados à segurança da informação e à mitigação de riscos. Reforça ainda o seu compromisso institucional e respeito à privacidade de toda a sua comunidade acadêmica e administrativa.”
Em réplica, o TecMundo pediu mais detalhes sobre os referidos protocolos de segurança em andamento, e questionou mais uma vez a legitimidade dos dados divulgados na amostra, em consideração aos possíveis alunos e funcionários afetados. Até o momento da publicação, não houve retorno oficial.
Por outro lado, o TecMundo tomou a iniciativa de buscar alguns dos nomes mencionados na suposta amostra de dados vazados, e rapidamente conseguiu confirmar a ligação dos indivíduos com a Cruzeiro do Sul – via LinkedIn e sites de portfólio digital, como a Behance.
Embora essa análise não represente uma ameaça, indivíduos mal-intencionados podem utilizar da mesma metodologia para atacar pessoas específicas. Com apoio de dados específicos, como documentos e data de nascimento, golpes de phishing (que tentam enganar a vítima se passando por uma empresa) ou fraude bancária se tornam muito mais fáceis.
Em paralelo, os supostos dados também servem de apoio a métodos perigosos de engenharia social, quando criminosos tentam manipular o estado emocional das vítimas para obter algum tipo de vantagem. Frequentemente, essa costuma ser a primeira etapa em muitos golpes de caráter financeiro – como, por exemplo, ligações falsas se passando por um banco, ou até mesmo o chefe de uma empresa.
Vítimas de vazamento de dados podem ser indenizadas?
Em casos de vazamento de dados, as vítimas podem ser indenizadas, conforme estabelece a Lei Geral de Proteção de Dados Pessoais (LGPD). No entanto, desde 2023, alguns detalhes importantes mudaram após uma decisão da Segunda Turma do Superior Tribunal de Justiça (STJ).
Mais especificamente, a decisão detalha quais dados são de natureza sensível e quais são comumente usados em cadastros gerais. Nesse contexto, as informações que exigem tratamento especial tratam da origem racial ou étnica de um indivíduo, sua religião ou opinião política, filiação a sindicato ou organização, e detalhes de sua saúde sexual – entre outros itens de natureza íntima.
Além da distinção desses dados, a vítima ainda precisa comprovar que a exposição indevida de suas informações provocou algum dano à sua vida ou patrimônio. Do contrário, conforme explicou o Ministro Francisco Falcão, o vazamento é considerado: “inconveniente exposição de dados pessoais comuns”.
O que fazer após ser vítima de um vazamento de dados?
Mesmo com boas práticas de segurança digital, não existe imunidade às ameaças da internet. Em alguns casos, serviços e plataformas podem ser comprometidas, afetando por tabela os dados pessoais compartilhados.
Assim, vale conferir o que fazer quando a exposição indevida dos dados já foi feita:
- Trocar imediatamente as senhas utilizadas, preferindo adotar uma aleatória e gerada por aplicativos;
- Checar a saúde financeira em sites especializados, como o Registrato, para checar empréstimos ilegais feitos em seu nome;
- Caso seja um serviço ou plataforma que já não use mais, é possível solicitar a exclusão de todos os dados armazenados;
- Comunicar amigos e familiares se há suspeitas de que criminosos podem tentar aplicar fraudes em seu nome.
Para ficar por dentro dos últimos vazamentos de dados, ameaças na internet, e casos de cibercrime, acompanhe o TecMundo Security nas redes sociais e no YouTube.
- O TecMundo Security apoia o trabalho de hackers éticos e também aceita denúncias nos canais: contato@adrianocamacho.com e denucia@tecmundo.com.br
