Vazamento de dados na CIEE One expõe registros sensíveis de 248 mil brasileiros

Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Publicado em 28 de julho de 2025

A plataforma CIEE One, voltada ao cadastro e seleção de estagiários e jovens aprendizes, sofreu um dos maiores vazamentos de dados do setor educacional brasileiro. Um erro de configuração em um bucket de armazenamento do Google Cloud deixou expostos mais de 364 mil arquivos contendo informações sensíveis de aproximadamente 248.725 candidatos. A exposição não apenas compromete a segurança individual dos afetados, mas levanta sérias implicações legais à luz da Lei Geral de Proteção de Dados (LGPD).

A falha foi identificada pela empresa de cibersegurança Resecurity, que revelou que o bucket estava publicamente acessível e sem autenticação. A gravidade se intensifica diante do fato de que os dados foram capturados e comercializados na dark web por um conhecido cibercriminoso, apelidado de “888”. Trata-se de um agente reincidente em ataques a grandes bases de dados e que já atuou contra empresas privadas e órgãos públicos.

Entre os documentos comprometidos estão imagens de perfil, currículos, vídeos de apresentação pessoal, relatórios médicos, planilhas internas e arquivos CSV com dados como CPF, e-mail, telefone e histórico profissional. Esse conjunto de informações pode ser utilizado em fraudes bancárias, clonagem de identidade, golpes de phishing e extorsões, configurando risco elevado tanto para os titulares quanto para a instituição responsável.

Sob o aspecto jurídico, o vazamento configura uma violação direta à LGPD, principalmente aos princípios de segurança e prevenção previstos no artigo 6º. O artigo 46 reforça a obrigatoriedade de adoção de medidas técnicas e administrativas eficazes para proteger os dados pessoais. O CIEE poderá ser responsabilizado administrativamente pela ANPD, com aplicação de sanções como advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), além de medidas corretivas e necessidade de comunicação imediata aos titulares.

Recomenda-se aos usuários que adotem medidas preventivas como o cadastro em serviços de monitoramento de crédito (Serasa, SPC), habilitação da autenticação em dois fatores no Gov.br e em outras plataformas, troca de senhas e vigilância contra comunicações suspeitas. Já as empresas devem revisar urgentemente suas configurações de nuvem, implementar políticas rígidas de acesso, realizar auditorias recorrentes, treinar suas equipes de TI e garantir que haja um plano de resposta a incidentes atualizado conforme os parâmetros da LGPD.

Este episódio reforça a importância da segurança digital como estratégia de sustentabilidade institucional. Em tempos de hiperconectividade e regulação crescente, erros técnicos aparentemente simples podem resultar em prejuízos jurídicos, financeiros e reputacionais profundos. O caso da CIEE One serve como mais um alerta para empresas e instituições públicas de que negligenciar cibersegurança é um risco que nenhuma organização pode mais correr.

Fonte:
🔗 Resecurity – Cybercriminals Target Brazil: 248,725 Exposed in CIEE One Data Breach

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *