O que aconteceu
A Lansing Community College (LCC), faculdade pública de Michigan, notificou mais de 174 mil pessoas sobre a exposição de dados pessoais após uma invasão detectada em fevereiro de 2025. Hackers utilizaram credenciais comprometidas para acessar sistemas da faculdade e obter nomes, endereços, datas de nascimento, números de carteira de motorista e Social Security Numbers. A notificação chegou aos afetados apenas em junho de 2026 — mais de um ano após o incidente.
Como a faculdade foi invadida
Segundo as cartas de notificação enviadas pela LCC, os atacantes obtiveram acesso à rede da faculdade cerca de uma semana antes da detecção, usando credenciais de autenticação previamente comprometidas. A metodologia sugere uma campanha de credential stuffing ou compra de credenciais vazadas em fóruns underground, técnica recorrente em invasões ao setor educacional.
A instituição contratou especialistas em cibersegurança para conter o incidente e determinar o escopo dos dados afetados. O levantamento concluiu que a informação variava por indivíduo — nem todos os afetados tiveram o mesmo tipo de dado exposto. O número total de notificações, registrado junto ao procurador-geral do Maine, chegou a 174.307 indivíduos, um volume significativo para uma instituição de ensino comunitário.
Segundo análise da SecurityWeek, a ausência de reivindicação por qualquer grupo de ransomware sugere que o objetivo pode ter sido a coleta de dados para fraudes de identidade, e não a extorsão dupla típica de operações ransomware-as-a-service.
| Dado | Exposto? | Nível de risco |
|---|---|---|
| Nome completo | Sim | Baixo |
| Endereço residencial | Sim | Médio |
| Data de nascimento | Sim | Médio |
| Carteira de motorista | Parcial | Alto |
| Social Security Number | Parcial | Crítico |
Por que a demora na notificação
A LCC afirmou não ter encontrado evidências de que os dados foram copiados ou utilizados de forma fraudulenta. Apesar disso, a demora de mais de um ano entre a detecção e a notificação levanta questões sobre os processos de resposta a incidentes da instituição e o cumprimento de regulamentações de privacidade que exigem comunicação em prazo razoável.
A faculdade informou que, além de conter o incidente, implementou melhorias em suas práticas de segurança. Nenhum grupo de ransomware conhecido reivindicou o ataque até o momento.
Medidas para os afetados
A LCC está oferecendo 24 meses de monitoramento de crédito e serviços de proteção de identidade gratuitos. Pessoas afetadas devem ativar esse serviço imediatamente, colocar alertas de fraude junto aos bureaus de crédito e revisar extratos bancários em busca de transações suspeitas. Quem teve o Social Security Number exposto deve considerar um congelamento de crédito junto às agências Equifax, Experian e TransUnion. Monitorar relatórios de crédito regularmente é essencial nos próximos dois anos.