Enquanto Harvard notifica seus alunos em 72 horas sobre invasão de hackers, o Brasil esconde 300 milhões de registros pessoais vazados na Dark Web em 2025. A diferença não é técnica. É de postura institucional diante do direito básico à privacidade dos cidadãos.
O ataque ao sistema Oracle E-Business Suite expôs dados sensíveis de universidades americanas e brasileiras. Mas apenas uma das partes assumiu publicamente o problema. A outra preferiu o silêncio cúmplice que transformou dados privados em commodities criminosas.
A falha crítica CVE-2024-61882 na Oracle EBS permitiu acesso remoto sem qualquer autenticação. O grupo hacker Clop explorou a vulnerabilidade desde agosto de 2025, logo após o patch da Oracle ter sido lançado em julho. Administradores lentos na atualização pagaram o preço da negligência.
Harvard confirmou a invasão, interrompeu operações temporariamente e notificou os afetados. No Brasil, universidades federais que usam o mesmo sistema para gerenciar matrículas e dados financeiros enfrentaram sistemas criptografados por ransomware. A diferença está na transparência obrigatória versus a opacidade sistemática.
A indústria bilionária dos dados pessoais roubados
CPF, RG, endereço completo, histórico médico e dados acadêmicos se tornaram as commodities mais valiosas da Deep Web. Os hackers descobriram que informações pessoais rendem mais que assaltos rápidos ou clonagem de cartões isolados. É o pote de ouro digital do século XXI.
Pacotes completos de dados pessoais são vendidos por mil dólares na Dark Web. Com essas informações, criminosos montam perfis perfeitos das vítimas. Abrem empréstimos em nome alheio, criam contas para lavagem de dinheiro e aplicam golpes personalizados que simulam contatos de bancos ou familiares.
O processo é assustadoramente discreto. A vítima só percebe o dano quando o score de crédito despenca ou débitos inexplicáveis aparecem em seu nome. Meses depois, a vida financeira está destruída por crimes que ela nunca soube que estavam acontecendo.
A Kaspersky identificou 600 anúncios de bancos de dados brasileiros na Dark Web somente em 2025. Desses, 21% tinham origem em órgãos públicos. O Ministério Público do Mato Grosso confirma 300 milhões de registros pessoais brasileiros na Dark Web em 2025. Número que supera a própria população do país.
Quando esses dados são cruzados com vazamentos históricos do DataSUS, que expôs 178 milhões de registros, incluindo CPFs e históricos médicos, formam-se dossiês completos. Material suficiente para qualquer tipo de fraude sofisticada contra cidadãos desprotegidos.
Oracle hackeada: de Harvard ao Brasil, mesma falha, respostas opostas
A vulnerabilidade da Oracle atingiu mais de 100 empresas mundialmente, segundo estimativas do Google e Mandiant. Harvard divulgou o incidente publicamente e seguiu protocolos de transparência exigidos pela SEC americana. Estudantes foram notificados em 72 horas sobre quais dados foram comprometidos.
No Brasil, o CTIR-Gov emitiu um alerta tardio sobre o risco. Universidades federais que utilizam Oracle EBS para gestão acadêmica enfrentaram sistemas criptografados. O IPEN, Instituto Nuclear Brasileiro, suspendeu a produção de medicamentos contra o câncer devido a ataque similar.
A RNP, rede que conecta instituições acadêmicas brasileiras, registra 20.000 tentativas de ataques mensais. Muitas visam sequestrar supercomputadores para mineração ilegal de criptomoedas. A infraestrutura educacional virou alvo preferencial de criminosos organizados.
Nos Estados Unidos, a legislação força transparência imediata. No Brasil, a regra é opacidade e minimização do problema. Não há recall público de dados vazados. Sistemas legados persistem sem atualizações. O cidadão permanece no escuro sobre suas informações comprometidas.
Oracle EBS é amplamente usado em universidades federais para gestão de matrículas, históricos e dados pessoais. Significa que informações de milhões de estudantes brasileiros foram expostas da mesma forma que Harvard. Mas sem reconhecimento público ou suporte às vítimas.
Brasil lidera ranking mundial de dados roubados
O Brasil conquistou uma liderança vergonhosa: 7 bilhões de cookies roubados mundialmente. A Verizon registra mais de 1.000 ataques ao setor educacional brasileiro em 2025, com 851 vazamentos confirmados. Mais da metade expôs informações pessoais de alunos e professores.
A revista Veja documenta crescimento de 20 vezes nos vazamentos governamentais em quatro anos. Dados fiscais, previdenciários e até do Pix foram expostos. O Banco Central sofreu 12 incidentes, expondo 215.000 usuários do sistema financeiro nacional.
A Proton Research aponta 300 milhões de registros vazados no ano. Um terço está ligado diretamente à saúde e governo. Informações que deveriam ter proteção máxima circulam livremente no mercado negro digital internacional.
O DataSUS, que deveria proteger dados médicos da população, virou fonte primária de informações para criminosos. Históricos médicos completos permitem fraudes milionárias em planos de saúde. Dados previdenciários facilitam golpes contra aposentados e pensionistas.
Enquanto isso, a Autoridade Nacional de Proteção de Dados atua com lentidão burocrática. A Lei Geral de Proteção de Dados prevê multas de até 2% do faturamento. Mas recalls de dados vazados são raríssimos. O cidadão fica sem saber se suas informações estão sendo vendidas.
Como funciona a máquina criminal dos dados vazados
Os métodos dos criminosos evoluíram para operações industriais sofisticadas. Usam engenharia social para enganar funcionários e obter credenciais iniciais. Exploram vulnerabilidades técnicas como a da Oracle, que permitiu acesso sem qualquer autenticação.
O grupo Clop representa a nova geração de cibercriminosos organizados. Capturam dados silenciosamente, aplicam ransomware para travar sistemas e depois vendem o que não é resgatado. Lucram em todas as pontas do processo criminoso.
No Brasil, sistemas legados obsoletos facilitam enormemente essas invasões. Falta orçamento para segurança cibernética. Treinamento de servidores públicos é insuficiente. A combinação perfeita para o paraíso dos hackers internacionais.
O SERPRO alerta para “vazamentos silenciosos” que ocorrem sem deixar rastros óbvios. Institutos como o Igarapé criticam a falta de estratégia nacional coesa para combater o cybercrime. O país navega sem rumo na guerra digital.
Dados médicos habilitam fraudes milionárias no SUS. Informações acadêmicas comprometidas sabotam bolsas de estudo e carreiras de pesquisadores. Identidades clonadas financiam o crime organizado com recursos que saem do bolso de trabalhadores honestos.
A transparência que o governo brasileiro se recusa a adotar
Nos Estados Unidos, empresas listadas devem divulgar vazamentos em 72 horas. A SEC multa pesado quem esconde incidentes de segurança. Harvard seguiu o protocolo: notificou estudantes, interrompeu sistemas comprometidos e buscou suporte especializado imediatamente.
No Brasil, governos optam pelo silêncio para evitar questionamentos sobre competência técnica. Preferem lidar com incidentes nos bastidores enquanto a população permanece vulnerável. É a cultura da irresponsabilidade institucionalizada.
A Lei Geral de Proteção de Dados de nada vale sem fiscalização efetiva. Multas milionárias existem apenas no papel. Autoridades reguladoras atuam com velocidade burocrática enquanto dados circulam na velocidade da luz nas redes criminosas.
Harvard recuperou controle dos sistemas rapidamente com suporte especializado. No Brasil, Unicamp e outras instituições mantêm discrição excessiva. Deixam alunos sem acesso a históricos e sistemas por semanas. O prejuízo educacional é tratado como efeito colateral aceitável.
O contraste revela diferenças fundamentais de postura institucional. Lá, transparência forçada cria cultura de responsabilidade imediata. Aqui, opacidade sistemática perpetua vulnerabilidades e permite que dados privados virem mercadoria pública na Deep Web.
O que sobra para o cidadão desprotegido pelo Estado
Fraudes resultantes desses vazamentos devastam vidas financeiras e reputações. A confiança nas instituições colapsa quando ninguém sabe se conta bancária ou CPF estão seguros. É o pânico econômico silencioso da era digital.
O cidadão comum fica à própria sorte para lidar com crimes facilitados pela negligência de quem deveria proteger seus dados. Usar gerenciador de senhas virou obrigação de sobrevivência. Autenticação de dois fatores em todos os serviços digitais é medida básica de autodefesa.
Monitoramento constante do CPF em serviços de proteção ao crédito tornou-se rotina obrigatória. VPN em redes Wi-Fi e desconfiança absoluta de contatos não solicitados são regras de segurança pessoal que o Estado não ensina.
A segurança digital pessoal virou obrigação inadiável em país onde o Estado falha consistentemente. Não existe proteção institucional confiável. Cada pessoa precisa se tornar especialista em cibersegurança para proteger o que é seu.
Aquelas instituições que permitirem vazamento de dados deveriam ser responsabilizadas e ressarcir usuários prejudicados. Mas no Brasil, o governo não é obrigado sequer a divulgar seus próprios vazamentos. Como cobrar responsabilidade de quem não reconhece o erro?
Por que dados privados são propriedade inviolável
Dados pessoais são propriedade privada por definição libertária. CPF, histórico médico, informações acadêmicas e financeiras pertencem exclusivamente ao indivíduo. Qualquer uso sem consentimento explícito constitui violação de direitos fundamentais.
Quando instituições públicas ou privadas permitem vazamento dessas informações, cometem crime contra a propriedade individual. Deveriam ser responsabilizadas civilmente e criminalmente. Usuários prejudicados merecem ressarcimento integral pelos danos sofridos.
A segurança da informação é luta constante entre defensores e atacantes. Sistemas devem estar sempre atualizados. Qualquer deslize resulta em vazamentos inadmissíveis de dados que não pertencem às instituições que os guardam.
No livre mercado, empresas que falharam na proteção de dados perderiam clientes rapidamente. A concorrência puniria a negligência com falência. Mas quando o Estado monopoliza serviços essenciais, não há alternativa para o cidadão desprotegido.
Harvard notificou estudantes porque lei americana força transparência. No Brasil, falta marco regulatório que obrigue divulgação imediata de vazamentos. O cidadão fica sem saber se suas informações estão sendo vendidas na Dark Web por criminosos internacionais.
A solução libertária passa por descentralização de dados, concorrência entre provedores de segurança e responsabilização real de quem falha na proteção. Monopólios estatais na gestão de informações pessoais são convites permanentes ao desastre cibernético.
O governo brasileiro provou ser incompetente para proteger dados que não lhe pertencem. É hora de devolver ao cidadão o controle sobre suas próprias informações. Liberdade digital começa com propriedade digital respeitada.
Não existe bala de prata na segurança cibernética. Mas existe responsabilização de quem falha na proteção do que é alheio. No Brasil atual, o poste mija no cachorro e ainda cobra pelo serviço.
Diante de um Estado que esconde seus próprios vazamentos enquanto 300 milhões de registros brasileiros circulam na Dark Web, resta ao cidadão uma pergunta inevitável: se nem os dados mais básicos estão seguros, o que mais este governo consegue realmente proteger?
