Hoje os cibercriminosos não se contentam mais com assaltos rápidos ou clonagem de cartões de crédito isolados, pois entenderam que o verdadeiro pote de ouro digital reside em algo muito mais precioso e silencioso que são as informações pessoais de cada indivíduo comum. CPF, RG, endereço completo, números de telefone, histórico médico, dados acadêmicos e informações financeiras se tornaram as commodities mais valiosas da deep web, vendidas em pacotes completos para golpistas que montam perfis perfeitos das vítimas.

Com essas informações em mãos, os hackers executam fraudes sofisticadas que se desenrolam ao longo de meses, abrindo empréstimos em nome alheio, criando contas para lavagem de dinheiro e aplicando golpes personalizados que simulam contatos de bancos ou familiares. O processo é assustadoramente discreto, pois a vítima só percebe o dano quando o score de crédito despenca ou débitos inexplicáveis começam a aparecer em seu nome. Esse cenário explica perfeitamente a violação massiva no software Oracle E-Business Suite que atingiu universidades globais como Harvard e chegou ao Brasil, expondo dados sensíveis para venda na dark web, enquanto governos que já foram vazados há anos preferem manter o silêncio sobre suas próprias falhas de segurança.

O caso é grave e ilustra como a fragilidade digital é universal, pois uma falha crítica zero-day no Oracle EBS, identificada tecnicamente como CVE-2025-61882, permitiu acesso remoto sem qualquer autenticação aos sistemas administrativos de instituições inteiras. O grupo Clop, conhecido por operar ransomware em escala industrial, explorou a vulnerabilidade desde agosto de 2025, logo após o patch da Oracle ter sido lançado em julho, pegando administradores desprevenidos ou lentos na atualização.

(Sugestão de Pausa)

Harvard confirmou a invasão em uma unidade administrativa, interrompendo operações temporariamente, e o Washington Post reportou que dados sensíveis foram vazados. Google e Mandiant estimam que mais de cem empresas foram afetadas mundialmente. No Brasil, o CTIR Gov emitiu um alerta tardio sobre o risco, mas universidades federais que utilizam o mesmo sistema EBS para gerenciar matrículas, notas, bolsas e finanças enfrentaram o pesadelo de ter seus sistemas criptografados por ransomware, com exigência de resgate em bitcoin sob ameaça de vazamento total. O IPEN, instituto nuclear brasileiro, suspendeu a produção de medicamentos contra câncer devido a um ataque similar, e a RNP, rede que conecta instituições acadêmicas, registra vinte mil tentativas de ataque mensais, muitas visando sequestrar supercomputadores para mineração ilegal de criptomoedas.

O paralelo entre a reação nos Estados Unidos e no Brasil revela diferenças gritantes de postura institucional, pois enquanto Harvard divulgou o incidente publicamente e notificou alunos afetados em setenta e duas horas conforme exigência da SEC, no Brasil a regra é a opacidade e a minimização do problema. O alerta do CTIR chegou quando o estrago já estava feito, sistemas legados persistem sem atualizações amplas e não há recall público generalizado de dados vazados.

Nos Estados Unidos, a transparência forçada pela legislação obriga respostas rápidas e mitigação de danos, enquanto aqui a falta de clareza perpetua vulnerabilidades e permite que dados circulem na deep web sem qualquer alarde oficial. O Oracle EBS é amplamente usado em universidades federais brasileiras para gestão acadêmica e administrativa, o que significa que matrículas, históricos e dados pessoais de milhões de estudantes brasileiros foram expostos da mesma forma que os de Harvard, mas sem o mesmo nível de reconhecimento público ou suporte às vítimas. O Verizon DBIR registra mais de mil ataques ao setor educacional no Brasil somente em 2025, com 851 vazamentos confirmados de dados sensíveis, sendo que mais da metade eram informações pessoais de alunos e professores.

(Sugestão de Pausa)

Os hackers priorizam dados pessoais porque eles representam uma fonte de lucro contínuo e diversificado, muito diferente de um roubo único de saldo bancário. Pacotes como os que combinam dados de universidades americanas e brasileiras, contendo CPF, históricos acadêmicos e contatos atualizados, são vendidos por mil dólares na dark web e alimentam uma indústria inteira de fraudes. Quando esses dados são cruzados com o vazamento histórico do Datasus, que expôs cento e setenta e oito milhões de registros, incluindo CPFs, endereços e históricos médicos de praticamente toda a população brasileira, formam-se dossiês completos que permitem qualquer tipo de golpe.

A Kaspersky identificou seiscentos anúncios de bancos de dados brasileiros na dark web somente em 2025, sendo que 21% deles tinham origem em órgãos públicos. A Proton Research aponta trezentos milhões de registros vazados no ano, com um terço ligado diretamente a saúde e governo. A revista Veja relata um crescimento de vinte vezes nos vazamentos governamentais em quatro anos, abrangendo dados fiscais, previdenciários e até do Pix, os quais o Banco Central sofreu doze incidentes, expondo 215 mil usuários.

Governos optam sistematicamente pelo silêncio para evitar pânico público e questionamentos incômodos sobre sua competência técnica, preferindo lidar com os incidentes nos bastidores enquanto a população permanece vulnerável. Nos Estados Unidos, a divulgação de vazamentos é obrigatória em setenta e duas horas para empresas listadas, criando uma cultura de responsabilidade imediata.

No Brasil, a Lei Geral de Proteção de Dados prevê multas de até cinquenta milhões de reais, mas a Autoridade Nacional de Proteção de Dados atua com lentidão e recalls de dados vazados são raríssimos, deixando o cidadão sem saber se suas informações estão comprometidas. O Serpro alerta internamente para vazamentos silenciosos que ocorrem sem deixar rastros óbvios, e institutos como o Igarapé criticam duramente a falta de uma estratégia nacional coesa de resposta ao cibercrime.

(Sugestão de Pausa)

Os métodos utilizados pelos criminosos são refinados e exploram tanto falhas humanas quanto técnicas, usando engenharia social para enganar funcionários e obter credenciais iniciais ou explorando vulnerabilidades como a da Oracle que permitem acesso sem login. O grupo Clop capta os dados silenciosamente, aplica ransomware para travar os sistemas e depois vende o que não é resgatado, lucrando em todas as pontas do processo. No Brasil, a combinação de sistemas legados obsoletos, falta de orçamento para segurança e treinamento insuficiente de servidores públicos facilita enormemente essas invasões.

O Brasil lidera mundialmente o ranking de cookies roubados, com sete bilhões de registros, o que facilita ainda mais o acesso indevido a contas e sistemas. O Ministério Público de Mato Grosso confirma a existência de trezentos milhões de registros pessoais brasileiros na dark web somente em 2025, um número que supera a própria população do país e indica vazamentos múltiplos e recorrentes das mesmas bases de dados. O impacto nos Estados Unidos contrasta fortemente com a realidade brasileira, pois enquanto Harvard interrompeu operações temporariamente e recuperou o controle rapidamente com suporte especializado, aqui a Unicamp e outras instituições mantêm discrição excessiva, deixando alunos sem acesso a históricos e sistemas por semanas.

As fraudes resultantes desses vazamentos devastam vidas financeiras e reputações, pois identidades clonadas financiam o crime organizado, dados médicos habilitam fraudes milionárias no SUS e planos de saúde, e informações acadêmicas comprometidas sabotam bolsas de estudo e carreiras de pesquisadores. A confiança nas instituições públicas e privadas colapsa, gerando um pânico econômico silencioso no qual ninguém sabe se sua conta bancária ou seu nome estão seguros. O cidadão comum é deixado à própria sorte para lidar com as consequências de crimes facilitados pela negligência de quem deveria proteger seus dados.

(Sugestão de Pausa)

A solução exige uma mudança radical de postura, com a adoção de transparência no modelo americano, detecção de ameaças por inteligência artificial, treinamentos obrigatórios para todos os servidores públicos e auditorias de segurança anuais e independentes. A Lei Geral de Proteção de Dados de nada vale para um país sem segurança jurídica e sem qualquer respeito aos usuários afetados. Para os cidadãos, resta adotar medidas de autoproteção como o uso de gerenciadores de senhas, ativação de autenticação de dois fatores em todos os serviços digitais, monitoramento gratuito e constante do CPF em serviços de proteção ao crédito, uso de VPN em redes WiFi e desconfiança absoluta de links suspeitos ou contatos não solicitados. A segurança digital pessoal tornou-se uma obrigação inadiável em um país onde o estado falha consistentemente em proteger os dados de sua população.

Nós libertários sabemos que não existe bala de prata e que a segurança da informação é uma luta constante de gato e rato, no qual os sistemas devem estar sempre atualizados e com sua segurança sempre ativada. Qualquer deslize ou demora resulta em vazamento de informações e dados sensíveis, algo inadmissível já que os dados privados das pessoas são, por definição, sua propriedade, e, portanto, devem ser protegidos. Aquelas instituições, privadas ou públicas, que permitem o vazamento desses dados devem ser responsabilizadas e seus usuários ressarcidos. Entretanto, sabemos que aqui no Brasil isso não é uma verdade, já que o governo não é obrigado a divulgar seus vazamentos. Não há muito o que se esperar do governo brasileiro, no qual o poste é quem mija no cachorro.

Referências:

https://www.thedp.com/article/2025/12/penn-cybersecurity-breach-oracle-business-hack
https://securityleaders.com.br/vazamentos-geraram-cerca-de-600-anuncios-com-dados-brasileiros-na-dark-web/
https://tiinside.com.br/30/06/2025/vazamentos-geraram-cerca-de-600-anuncios-com-dados-de-brasileiros-na-dark-web/
https://mpmt.mp.br/portalcao/news/1217/168455/300-milhoes-de-registros-pessoais-ja-vazaram-na-dark-web-em-2025
https://databreach.com/breach/sus-brazil-2024
https://veja.abril.com.br/coluna/maquiavel/vazamentos-de-dados-no-governo-crescem-mais-de-20-vezes-em-4-anos/
https://revistapesquisa.fapesp.br/en/cyberattacks-on-universities-and-scientific-institutions-on-the-rise-in-brazil/
https://fenati.org.br/falha-software-oracle-harvard-ataque-hacker/
https://athenasecurity.com.br/2025/10/13/100-empresas-podem-ter-sido-afetadas-por-ataque-hacker-contra-oracle-segundo-google/
https://convergenciadigital.com.br/governo/governo-adverte-para-vulnerabilidade-critica-no-oracle-e-business-suite/
https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/alertas/2025/alerta-20-2025
https://viva.com.br/tecnologia/instituicoes-de-ensino-sao-vitimas-de-1075-ataques-cibercriminosos-em-2025.html
https://convergenciadigital.com.br/mercado/brasil-lidera-no-mundo-vazamento-com-7-bilhoes-de-cookies-roubados/
https://www.serpro.gov.br/menu/noticias/noticias-2025/vazamento-silencioso-de-dados