O ShinyHunters, o grupo de hackers por tras de algumas das maiores violacoes de dados dos ultimos anos, publicou mais de 40 gigabytes de dados roubados da Universidade de Nottingham, expondo registros pessoais de aproximadamente 455.000 estudantes atuais e ex-alunos de tres campus internacionais. Os dados roubados ja circulam publicamente, sem que as vitimas tenham meios praticos de conter a exposicao.
O que foi roubado e quem e afetado
A violacao afeta estudantes e ex-alunos dos campus da Universidade de Nottingham no Reino Unido, na Malasia e na China. De acordo com a analise dos arquivos publicados, a violacao inclui:
- Documentos de identidade: numeros e copias de passaportes, dados de documentos nacionais de identidade
- Registros financeiros: numeros de contas bancarias internacionais (IBANs), historico de pagamentos
- Dados pessoais sensiveis: origem etnica, condicao de deficiencia, registros medicos
- Registros academicos: dados de matricula, notas, registros disciplinares
- Informacoes de contato: enderecos residenciais, numeros de telefone, enderecos de e-mail
A combinacao de dados de passaporte, registros financeiros e categorias sensiveis como origem etnica e deficiencia cria riscos particularmente graves para as 455.000 pessoas afetadas.
Como a violacao ocorreu: a zero-day do Oracle PeopleSoft
O ataque explorou a CVE-2026-35273, uma vulnerabilidade critica no Oracle PeopleSoft com pontuacao CVSS de 9,8. A falha permitia a execucao remota de codigo sem autenticacao por meio de uma simples solicitacao HTTP - sem credenciais, sem acesso interno, sem engenharia social. Um invasor podia alcancar o sistema diretamente pela Internet e executar comandos arbitrarios com privilegios de nivel de servidor.
O Oracle PeopleSoft e amplamente utilizado no ensino superior como sistema ERP para gerenciar exatamente o tipo de dados aqui expostos. A implantacao da Universidade de Nottingham cobria os tres campus, o que explica o alcance multinacional da violacao. O ShinyHunters teria explorado a vulnerabilidade antes de um patch estar disponivel publicamente.
A crescente campanha de violacoes do ShinyHunters
A violacao de Nottingham e a mais recente entrada na estrategia de "despejo eterno" do ShinyHunters: atacar sistematicamente organizacoes com grandes bancos de dados centralizados e publicar os dados roubados independentemente do pagamento de resgate. As vitimas anteriores confirmadas incluem a Carnival Corporation (quase 6 milhoes de registros de passageiros), Ticketmaster (560 milhoes de registros), Santander Bank e dezenas de empresas cujos dados foram roubados por meio de contas Snowflake comprometidas em 2025.
Ao contrario dos grupos de ransomware que criptografam dados e exigem pagamento, o ShinyHunters publica dados publicamente. Isso torna o dano irreversivel: uma vez que copias de passaportes e numeros IBAN estao indexados na dark web, as vitimas nao podem desfazer a exposicao.
Resposta da universidade e notificacao regulatoria
A Universidade de Nottingham confirmou o incidente e afirmou ter notificado o Information Commissioner's Office (ICO) do Reino Unido e o Action Fraud. Sob o GDPR e seu equivalente britanico, as organizacoes sao obrigadas a relatar violacoes ao ICO em 72 horas quando ha risco para os direitos das pessoas.
A universidade afirmou que esta contatando os afetados diretamente. No entanto, com 455.000 pessoas em tres paises, o processo de notificacao levara tempo.
Por que redes universitarias sao alvos de alto valor
As universidades se tornaram alvos prioritarios por razoes estruturais. Elas mantêm decadas de registros sobre grandes populacoes de estudantes, incluindo categorias sensiveis que as instituicoes financeiras tipicamente protegem com mais cuidado. Os campus internacionais criam complexidade adicional: a governanca de dados nos frameworks britanico, malasio e chines significa que os padroes de seguranca podem nao ser aplicados uniformemente.
Para estudantes e funcionarios que usam VPN para acessar remotamente os recursos da rede universitaria, a violacao de Nottingham e um lembrete: tuneis criptografados protegem dados em transito, mas nao podem compensar vulnerabilidades nas aplicacoes e bancos de dados no outro extremo da conexao.
O que vem a seguir
O ICO pode impor multas de ate 4% do volume de negocios anual global por violacoes graves do GDPR. A violacao de Nottingham atraira provavelmente escrutinio regulatorio.
