Vazamento de dados na Lansing Community College expõe informações de 174 mil pessoas

A Lansing Community College (LCC) sofreu sua segunda grande falha de segurança em menos de dois anos, e a nova violação, detectada em 18 de fevereiro de 2025, segue o mesmo padrão da anterior: uso de credenciais válidas por atacantes. Dessa vez, o invasor acessou os sistemas entre 12 e 18 de fevereiro usando contas de funcionários comprometidas, explorando diretamente a técnica MITRE ATT&CK T1078 (Contas Válidas). Isso não é um erro de configuração ou falha em software, mas uma falha crítica de gestão de identidades: senhas fracas, falta de autenticação multifator (MFA) ou reutilização de credenciais em múltiplos sistemas. A LCC não informou se o MFA estava ativado nas contas afetadas, nem detalhou se houve tentativas anteriores de acesso suspeito antes do dia 12.

O dado mais preocupante não está na quantidade, 174 mil pessoas , , mas na natureza dos dados expostos: números de Social Security, dados de carteira de motorista e datas de nascimento. Juntos, esses três elementos formam o tripé ideal para fraudes de identidade nos EUA, especialmente em abertura de crédito, emissão de documentos falsos e solicitação de benefícios governamentais. O fato de a notificação ter sido enviada só em 5 de junho de 2026, 15,5 meses após a descoberta, também levanta dúvidas sobre a capacidade de detecção e resposta da instituição, já que o prazo legal de notificação em Michigan é de 45 dias.

Em comparação com a violação de 2022–2023, que expôs dados de 757 mil pessoas e resultou em um acordo judicial de US$ 1,45 milhão (atualmente sob apelação), a nova falha mostra que as medidas corretivas aplicadas pela LCC não foram suficientes para impedir uma repetição do mesmo vetor de ataque. Na primeira violação, o acesso também foi feito por credenciais comprometidas; agora, o mesmo padrão retorna. Não houve mudança na superfície de ataque, apenas na escala (menor agora) e no tempo de notificação (mais lento). A oferta de 24 meses de monitoramento de crédito é idêntica à oferecida na ação coletiva anterior, mas o serviço continua limitado ao bureau Equifax, sem cobertura simultânea nos três principais bureaus (Equifax, Experian, TransUnion), como exigido por boas práticas do setor.

Instituições de ensino superior são alvos recorrentes porque concentram dados sensíveis de estudantes, ex-alunos, funcionários e fornecedores, muitos ainda sem histórico de crédito, o que facilita fraudes silenciosas. A LCC, com duas falhas graves em sequência, demonstra que a mera atualização de políticas ou contratação de serviços de monitoramento não resolve falhas estruturais: falta de MFA obrigatório, ausência de detecção de comportamento anômalo em contas privilegiadas e lentidão na comunicação com autoridades e afetados. Para empresas brasileiras que lidam com dados pessoais de clientes ou parceiros internacionais, esse caso reforça que a conformidade com LGPD não basta, é preciso testar continuamente a eficácia das controles de acesso, especialmente em sistemas integrados com fornecedores terceirizados, como ocorreu na NYC Health + Hospitals.