No último dia 30 de outubro, cibercriminosos anunciaram a venda de supostos dados da holding educacional Cruzeiro do Sul. Segundo a publicação, o material obtido totalizaria mais de três milhões de registros, incluindo 100 mil credenciais ativas de alunos e funcionários. O vazamento teria afetado 11 instituições subsidiárias do grupo, que confirmou a possibilidade de invasão e início das investigações ao TecMundo.Entre as supostas informações obtidas ilegalmente, conforme sugere a própria publicação, há material mais que suficiente para golpes e até mesmo fraudes financeiras. Segundo os criminosos, os arquivos incluem: nomes completos, CPFs, data de nascimento, e-mails, celulares e carteirinha da organização. Todas essas informações teriam sido vazadas diretamente de um banco de dados estudantis e de sistemas de suporte ao cliente (CRMs).Conforme detalha a publicação, as seguintes instituições teriam sido afetadas:Cruzeiro do Sul (https://www.cruzeirodosul.edu.br/)Centro Universitário Braz Cubas (https://www.brazcubas.edu.br/)Unicid (https://www.unicid.edu.br/)Universidade de Franca, Unifran (https://www.unifran.edu.br/)Centro Universitário UDF (https://www.udf.edu.br/)Universidade Positivo (https://www.up.edu.br/)Centro Universitário de João Pessoa (https://www.unipe.edu.br/)Centro Universitário FSG (https://www.fsg.edu.br/)Centro Universitário de N. Sra. de Patrocínio (https://www.ceunsp.edu.br/)Centro Universitário de Pinhais (https://www.fapipinhais.edu.br/)Centro Universitário Módulo (https://www.modulo.edu.br/)Como suposta prova de invasão, os cibercriminosos anexaram uma extensa amostra dos dados, contendo o que parecem ser informações sensíveis de pessoas afetadas pelo vazamento. Investigando o perfil responsável pela publicação, nomeado “darkhackbreach”, há poucas informações relevantes, já que a conta foi criada apenas para realizar este anúncio – uma medida bastante comum em fóruns ilegais, usada para evitar rastros ou ligações anteriores.Cruzeiro do Sul confirma investigação do caso ao TecMundoDurante a apuração do caso, o TecMundo entrou em contato com a Cruzeiro do Sul por meio de um e-mail dedicado à imprensa. Quando questionada sobre o vazamento, bem sua origem, a empresa não negou ou confirmou sua veracidade.Em seu comentário oficial, no entanto, a Cruzeiro do Sul reconhece a possibilidade de invasão aos seus sistemas: “A Cruzeiro do Sul Educacional informa que tomou ciência de um possível acesso a dados sob sua responsabilidade e já iniciou todos os protocolos de segurança, conforme exigido pela legislação brasileira e suas políticas internas.”Por fim, acrescenta: “A Companhia possui um Programa de Privacidade e Proteção de Dados Pessoais robusto, alinhado à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), que estabelece políticas, controles e procedimentos voltados à segurança da informação e à mitigação de riscos. Reforça ainda o seu compromisso institucional e respeito à privacidade de toda a sua comunidade acadêmica e administrativa.”Em réplica, o TecMundo pediu mais detalhes sobre os referidos protocolos de segurança em andamento, e questionou mais uma vez a legitimidade dos dados divulgados na amostra, em consideração aos possíveis alunos e funcionários afetados. Até o momento da publicação, não houve retorno oficial.Lista de Universidades supostamente comprometidas. Amostra de dados está censurada. (Fonte: Adriano Camacho, TecMundo).Por outro lado, o TecMundo tomou a iniciativa de buscar alguns dos nomes mencionados na suposta amostra de dados vazados, e rapidamente conseguiu confirmar a ligação dos indivíduos com a Cruzeiro do Sul – via LinkedIn e sites de portfólio digital, como a Behance.Embora essa análise não represente uma ameaça, indivíduos mal-intencionados podem utilizar da mesma metodologia para atacar pessoas específicas. Com apoio de dados específicos, como documentos e data de nascimento, golpes de phishing (que tentam enganar a vítima se passando por uma empresa) ou fraude bancária se tornam muito mais fáceis.Em paralelo, os supostos dados também servem de apoio a métodos perigosos de engenharia social, quando criminosos tentam manipular o estado emocional das vítimas para obter algum tipo de vantagem. Frequentemente, essa costuma ser a primeira etapa em muitos golpes de caráter financeiro – como, por exemplo, ligações falsas se passando por um banco, ou até mesmo o chefe de uma empresa.Vítimas de vazamento de dados podem ser indenizadas?Em casos de vazamento de dados, as vítimas podem ser indenizadas, conforme estabelece a Lei Geral de Proteção de Dados Pessoais (LGPD). No entanto, desde 2023, alguns detalhes importantes mudaram após uma decisão da Segunda Turma do Superior Tribunal de Justiça (STJ).Mais especificamente, a decisão detalha quais dados são de natureza sensível e quais são comumente usados em cadastros gerais. Nesse contexto, as informações que exigem tratamento especial tratam da origem racial ou étnica de um indivíduo, sua religião ou opinião política, filiação a sindicato ou organização, e detalhes de sua saúde sexual – entre outros itens de natureza íntima.Anúncio dos supostos dados da Cruzeiro do Sul. (Fonte: Adriano Camacho, TecMundo)Além da distinção desses dados, a vítima ainda precisa comprovar que a exposição indevida de suas informações provocou algum dano à sua vida ou patrimônio. Do contrário, conforme explicou o Ministro Francisco Falcão, o vazamento é considerado: “inconveniente exposição de dados pessoais comuns”.O que fazer após ser vítima de um vazamento de dados?Mesmo com boas práticas de segurança digital, não existe imunidade às ameaças da internet. Em alguns casos, serviços e plataformas podem ser comprometidas, afetando por tabela os dados pessoais compartilhados. Assim, vale conferir o que fazer quando a exposição indevida dos dados já foi feita:Trocar imediatamente as senhas utilizadas, preferindo adotar uma aleatória e gerada por aplicativos;Checar a saúde financeira em sites especializados, como o Registrato, para checar empréstimos ilegais feitos em seu nome;Caso seja um serviço ou plataforma que já não use mais, é possível solicitar a exclusão de todos os dados armazenados;Comunicar amigos e familiares se há suspeitas de que criminosos podem tentar aplicar fraudes em seu nome.Para ficar por dentro dos últimos vazamentos de dados, ameaças na internet, e casos de cibercrime, acompanhe o TecMundo Security nas redes sociais e no YouTube.O TecMundo Security apoia o trabalho de hackers éticos e também aceita denúncias nos canais: contato@adrianocamacho.com e denucia@tecmundo.com.br