A Universidade de Harvard confirmou, durante este fim de semana, que foi vítima de um incidente de segurança que comprometeu os seus sistemas de Desenvolvimento e Assuntos de Antigos Alunos. O ataque resultou na exposição de informações pessoais de uma vasta gama de indivíduos ligados à instituição, incluindo estudantes, ex-alunos, doadores e membros do corpo docente.
Este incidente surge num momento em que várias instituições de ensino de prestígio nos Estados Unidos têm enfrentado desafios semelhantes, colocando a cibersegurança universitária sob escrutínio.
Um ataque baseado na voz
Ao contrário das tentativas de intrusão mais comuns que recorrem a emails fraudulentos, este incidente teve origem num ataque de voice phishing (ou vishing). De acordo com a notificação oficial, o acesso não autorizado aos sistemas ocorreu no dia 18 de novembro de 2025.
A técnica de vishing envolve o uso de chamadas telefónicas para enganar as vítimas e levá-las a revelar informações confidenciais ou a conceder acesso a sistemas protegidos. Após a descoberta da intrusão, a universidade agiu imediatamente para bloquear o acesso do atacante e iniciou uma investigação forense com o apoio de especialistas externos em cibersegurança e das autoridades policiais.
As notificações de violação de dados começaram a ser enviadas a 22 de novembro para os indivíduos afetados, alertando-os para se manterem vigilantes contra comunicações suspeitas que aleguem ser provenientes da universidade.
Dados expostos e o que foi protegido
A extensão da informação comprometida é significativa. Os dados acedidos incluem nomes, endereços de email, números de telefone e moradas residenciais ou comerciais. Além disso, registos de participação em eventos, detalhes sobre doações e informações biográficas relacionadas com atividades de angariação de fundos também foram expostos.
No entanto, e conforme esclarecido no portal da Harvard University, os sistemas comprometidos não continham dados financeiros sensíveis. Números da Segurança Social, palavras-passe, informações bancárias ou dados de cartões de pagamento permaneceram seguros e inacessíveis aos atacantes.
Os grupos afetados incluem antigos alunos, os seus cônjuges ou parceiros, doadores da universidade, pais de estudantes (atuais e antigos), bem como alguns estudantes e funcionários atuais.
Uma onda de ataques ao ensino superior
Este incidente não é um caso isolado no panorama do ensino superior norte-americano. Harvard já se encontrava a investigar uma outra violação de dados, reportada em meados de outubro, relacionada com o grupo de ransomware Clop. Nesse caso anterior, os atacantes alegaram ter explorado uma vulnerabilidade "zero-day" nos servidores Oracle E-Business Suite da instituição.
Adicionalmente, outras escolas da Ivy League, como a Universidade de Princeton e a Universidade da Pensilvânia, reportaram violações de dados no início deste mês, confirmando também o acesso indevido a informações de doadores. Estes eventos sublinham a crescente tendência de ciberataques direcionados a grandes bases de dados institucionais.
Para os utilizadores preocupados com a segurança dos seus dados, é essencial compreender como funcionam estas ameaças. Pode saber mais sobre como identificar e proteger-se contra estes esquemas no nosso guia sobre phishing.
Nenhum comentário
Seja o primeiro!