No dia 30 de outubro, um grupo de cibercriminosos anunciou a venda de supostos dados da holding educacional Cruzeiro do Sul, alegando ter obtido mais de 3 milhões de registros — entre eles, 100 mil credenciais ativas de alunos e funcionários. O material, segundo os invasores, envolveria 11 instituições subsidiárias do grupo. A empresa confirmou ao TecMundo que está investigando uma possível invasão.
O que pode ter sido exposto
De acordo com a publicação feita em fóruns de cibercrime, os dados teriam sido extraídos de bancos de dados estudantis e sistemas de CRM (suporte ao cliente). O conjunto incluiria nomes completos, CPFs, datas de nascimento, e-mails, números de celular e carteirinhas institucionais — informações suficientes para facilitar golpes e fraudes financeiras.
As instituições supostamente afetadas incluem:
-
Cruzeiro do Sul
-
Centro Universitário Braz Cubas
-
Unicid
-
Universidade de Franca (Unifran)
-
Centro Universitário UDF
-
Universidade Positivo
-
Centro Universitário de João Pessoa (UNIPÊ)
-
Centro Universitário FSG
-
Centro Universitário Nossa Senhora do Patrocínio (CEUNSP)
-
Centro Universitário de Pinhais (FAPI)
-
Centro Universitário Módulo
Os hackers, identificados sob o nome “darkhackbreach”, publicaram uma amostra com dados sensíveis como prova da invasão. O perfil usado para o anúncio foi criado apenas para esse fim — tática comum em fóruns da dark web, usada para evitar rastreamento.
Cruzeiro do Sul confirma início de investigação
Em resposta ao TecMundo, a Cruzeiro do Sul Educacional declarou que ativou seus protocolos de segurança e está apurando o incidente:
“A Cruzeiro do Sul Educacional informa que tomou ciência de um possível acesso a dados sob sua responsabilidade e já iniciou todos os protocolos de segurança, conforme exigido pela legislação brasileira e suas políticas internas”, afirmou a companhia.
A instituição acrescentou que mantém um Programa de Privacidade e Proteção de Dados Pessoais alinhado à Lei Geral de Proteção de Dados (LGPD), reforçando seu compromisso com a segurança da informação e a privacidade da comunidade acadêmica.
Até o fechamento da reportagem, a empresa não havia comentado sobre a autenticidade da amostra divulgada nem sobre o possível escopo do vazamento.
Evidências indicam conexão real com a instituição
Durante a investigação, o TecMundo identificou que alguns nomes na amostra de dados correspondem a alunos e funcionários reais da Cruzeiro do Sul, com base em perfis no LinkedIn e em portfólios digitais, como o Behance.
Essa constatação não implica risco direto, mas reforça a gravidade do incidente, já que criminosos podem usar essas informações em golpes de phishing, fraudes bancárias ou engenharia social. Táticas desse tipo exploram a confiança ou o medo das vítimas para obter senhas, transferências ou dados adicionais.
O que dizem as leis brasileiras
A Lei Geral de Proteção de Dados (LGPD) prevê a possibilidade de indenização para vítimas de vazamentos, mas desde 2023, o Superior Tribunal de Justiça (STJ) deixou mais claro que é preciso comprovar dano real.
Somente dados considerados sensíveis — como informações sobre saúde, religião, orientação sexual, filiação política ou origem étnica — geram responsabilidade automática em caso de exposição. Dados cadastrais comuns, como nome e CPF, não garantem indenização sem prova de prejuízo concreto.
Como agir após um vazamento de dados
Se você suspeita que seus dados foram expostos, siga estas medidas preventivas:
-
Troque todas as senhas imediatamente, usando combinações aleatórias e seguras.
-
Monitore sua situação financeira em serviços como o Registrato, para detectar empréstimos ou contas indevidas.
-
Solicite a exclusão dos dados de serviços que não utiliza mais.
-
Avise familiares e contatos próximos, caso haja indícios de tentativas de fraude usando seu nome.
O caso segue em investigação, e a Cruzeiro do Sul ainda deve fornecer novos esclarecimentos às autoridades e à Autoridade Nacional de Proteção de Dados (ANPD). Enquanto isso, alunos e funcionários devem redobrar a atenção com e-mails suspeitos, mensagens não solicitadas e tentativas de contato se passando pela instituição.
