Vazamento na InfiniteCampus expõe dados de 137 mil funcionários escolares após ataque do ShinyHunters

O ShinyHunters não atacou a InfiniteCampus diretamente, atacou sua instância do Salesforce. Isso é crítico: não foi uma falha no sistema de informação estudantil (SIS), mas uma configuração frágil, provavelmente com credenciais expostas ou MFA desativada, em um ambiente terceirizado. Dados de 137 mil funcionários escolares foram roubados em março de 2026, mas só vieram à tona agora porque o grupo publicou os dados em 15 de junho, após a InfiniteCampus recusar o pagamento. O arquivo de 1,2 GB inclui tickets de suporte, o que revela fluxos internos, hierarquias e até nomes de administradores de sistemas. Isso não é só 'diretório público': é combustível para spear phishing, ataques contra contas de e-mail institucionais e até invasões em sistemas adjacentes via credenciais reutilizadas.

A exploração da CVE-2026-35273 no PeopleSoft da Oracle (CVSS 9.8), usada na Universidade de Nottingham poucos dias antes, mostra que o ShinyHunters está migrando para cadeias de exploração mais sofisticadas, mas ainda prioriza alvos com superfície de ataque expandida e baixa maturidade de segurança. No caso da InfiniteCampus, o vetor foi o Salesforce. Em todos os casos recentes (Charter, ADT, McGraw-Hill, Nottingham), o padrão é o mesmo: conta corporativa mal protegida + falta de monitoramento de atividades anômalas em ambientes SaaS + dados sensíveis armazenados sem classificação nem criptografia em repouso.

Em abril de 2026, a McGraw-Hill admitiu que sua instância do Salesforce foi comprometida, mas afirmou que os dados roubados eram 'limitados e não sensíveis'. Em maio, a Charter confirmou vazamento após o mesmo grupo ameaçar divulgar dados, mas limitou a comunicação ao fato de uma conta Mic ter sido usada como porta de entrada. Agora, na InfiniteCampus, o ShinyHunters não só vazou os dados como publicou tickets de suporte e endereços físicos completos, um salto operacional em termos de dano reputacional e risco de engenharia social. Também é a primeira vez que o grupo ataca diretamente um fornecedor central de infraestrutura K-12 com escopo nacional (3.200 distritos), amplificando o impacto sistêmico, diferente das violações pontuais em universidades ou empresas de telecom.

InfiniteCampus não é um app secundário: é a espinha dorsal administrativa de milhares de distritos escolares. Um vazamento de dados de funcionários abre caminho para ataques direcionados contra sistemas de matrícula, portais de pais, plataformas de avaliação e até sistemas de controle de acesso físico. A maioria dessas escolas não tem equipes de segurança dedicadas, depende de fornecedores terceirizados e opera com orçamentos apertados, o que torna a adoção de MFA obrigatório, avaliação contínua de fornecedores e segmentação de dados um imperativo regulatório, não opcional. O custo médio de uma violação no setor educacional já ultrapassa US$ 3,6 milhões, e isso não inclui danos indiretos como interrupção de aulas, perda de confiança de famílias ou multas da CCPA por exposição de dados de menores.