Dados pessoais de cerca de 1,3 milhão de alunos, docentes e professores cadastrados no sistema do grupo Laureate International Universities ficaram expostos por mais de seis meses. A exposição aconteceu no sistema de infraestrutura da empresa e, especificamente, envolve a Universidade Anhembi Morumbi.

Os dados vazados incluem informações detalhadas em 1.373.351 linhas de indivíduos únicos. São elas: nome completo, RG, CPF, data de nascimento, sexo, endereço de e-mail, documentos escaneados (comprovantes de pagamento, escolaridade, passaportes etc), notas dos alunos e turmas. Outras informações presentes envolvem senhas em hash (algoritmo para "esconder" a senha) das entidades numeradas.

A descoberta da vulnerabilidade veio após uma monitoria de um grupo privado de hackers maliciosos no mercado de vazamentos de instituições de ensino. De acordo com a fonte, os dados vazados provavelmente já estão na mão desses agentes maliciosos.

No Brasil, a Laureate gere as seguintes instituições: Business School São Paulo (BSP), CEDEPE Business School (CBS), Centro Universitário FADERGS (FADERGS), Centro Universitário FMU | FIAM-FAAM (FMU | FIAM-FAAM), Faculdade Internacional da Paraíba (FPB), Centro Universitário IBMR (IBMR), Universidade Anhembi Morumbi (UAM), Universidade Salvador (UNIFACS), Centro Universitário dos Guararapes (UniFG), Centro Universitário Ritter dos Reis (UniRitter) e Universidade Potiguar (UnP).

A Laureate informou que corrigiu a falha:

"A Universidade Anhembi Morumbi informa que já tratou o tema de forma imediata e com todas as providências exigidas pela lei. Aproveita também a oportunidade para destacar que a segurança da informação, juntamente à preocupação com a segurança física e o bem-estar de nossa comunidade acadêmica, também é uma das nossas prioridades e um item de total atenção e trabalho por parte de todo o nosso time. Por isso, investe recursos de forma contínua com o objetivo de garantir a privacidade e a proteção de dados pessoais dos nossos alunos, docentes e demais colaboradores".

Vazamento e implicações

Foram enviadas tabelas que comprovam o vazamento, e, em uma delas, é possível acompanhar todas as tabelas da instância de banco de dados da Anhembi Morumbi, contendo todas as tabelas que expõem informações privadas dos alunos, docentes, professores e qualquer envolvido com a instituição.

É possível acompanhar também, pelas imagens, os dados de mais de 100 tabelas, das mais de 2000 enumeradas, que acabaram sendo totalmente exfiltradas (totalizando mais de 20GB de dados vazados, fora os documentos escaneados, oriundo de outra vulnerabilidade, mas na mesma plataforma, de acordo com a fonte).

Infelizmente, dados como estes, expostos desta maneira, abrem diversos precedentes caso caiam nas mãos de cibercriminosos. Podemos listas golpes como phishing, spear phishing, matéria prima para engenharia social, abertura fraudulenta de contas e outros.

A seguir, veja algumas dicas para pessoas que tiveram dados pessoais expostos na internet:

• Ative segundo fator de autenticação em todas as contas;
• Não passe mais informações via ligações telefônicas ou mensagens, principalmente bancária. Caso esteja com dúvida, seja proativo e ligue para o banco pelo número atrás do cartão de crédito;
• Ignore mensagens e emails suspeitos. Sempre que tiver alguma dúvida, busque outro meio de contato oficial;
• Baixe um antivírus no seu aparelho e computador, é sempre bom contar com uma camada extra de segurança.

Fonte