Estamos apenas a alguns meses de 2025, mas este ano já viu várias violações de dados afetando as informações pessoais de milhões de indivíduos, incluindo desde registros de estudantes até dados de telefones e informações de saúde sensíveis.
No ano passado, 2024, viu mais de um bilhão de registros roubados. Se os primeiros dois meses deste ano forem um indicativo, 2025 parece estar se configurando como um ano sem precedentes em violações de dados.
A violação do PowerSchool provavelmente afeta dezenas de milhões de estudantes e professores
A violação do gigante ed-tech PowerSchool é uma das maiores violações de dados de estudantes da história recente. Embora ainda não saibamos exatamente quantos registros foram roubados (a PowerSchool repetidamente se recusou a divulgar esse número), relatos afirmam que a violação afetou mais de 62 milhões de estudantes e 9,5 milhões de professores nos Estados Unidos.
A PowerSchool, que fornece software K-12 a mais de 18.000 escolas na América do Norte, revelou pela primeira vez a violação de dados em janeiro. Na época, a PowerSchool disse que hackers não identificados usaram uma credencial comprometida para acessar seu portal de suporte ao cliente, concedendo acesso à riqueza de dados em seu sistema de informações escolares, o PowerSchool SIS, que as escolas usam para gerenciar os registros dos alunos.
Os hackers acessaram informações pessoais sensíveis, incluindo notas dos alunos, informações médicas e números de Seguro Social. Múltiplas escolas afetadas pela violação informaram ao TechCrunch que outras informações altamente sensíveis, incluindo dados altamente sensíveis dos alunos, como informações sobre ordens de restrição, foram acessadas.
A PowerSchool não confirmou ou negou o número reportado de 62 milhões, mas várias declarações confirmaram que milhões de pessoas foram afetadas pela violação. Uma declaração com o procurador-geral do Texas revelou que quase 800.000 residentes do estado tiveram seus dados roubados, enquanto o Distrito Escolar da Cidade de Rochester confirmou que 134.000 estudantes foram afetados.
A PowerSchool recentemente confirmou ao TechCrunch que cerca de 16.000 pessoas no Reino Unido também tiveram dados roubados na violação.
Acesso DOGE de Musk representa um enorme comprometimento de dados do governo federal dos EUA
As primeiras semanas da administração Trump viram um tipo diferente de violação - e uma que provavelmente entrará para a história como o maior comprometimento de dados do governo dos EUA.
Indivíduos que trabalham para Elon Musk, responsável pelo chamado Departamento de Eficiência Governamental da administração Trump, DOGE, assumiram o controle de importantes departamentos federais e conjuntos de dados para acessar grandes volumes de dados federais sensíveis. DOGE - composto principalmente por funcionários do setor privado dos próprios negócios de Musk - obteve amplo acesso aos sistemas críticos de pagamentos do governo dos EUA contendo as informações pessoais de milhões de americanos e responsáveis por distribuir trilhões de dólares todos os anos.
Desde então, uma coalização de mais de uma dúzia de estados dos EUA entrou com uma ação para impedir a equipe de redutores de custos de Musk de acessar os sistemas governamentais que contêm os dados pessoais dos americanos. Mais de 100 funcionários federais atuais e antigos também processaram a agência DOGE de Musk por acessar os registros pessoais sensíveis dos americanos sem autorização adequada.
Hacker roubou um milhão de registros de pacientes do Centro de Saúde Comunitária sem fins lucrativos
O Centro de Saúde Comunitária, um provedor de saúde sem fins lucrativos com sede em Connecticut, afirmou em janeiro que um hacker havia acessado os dados sensíveis de mais de um milhão de pacientes.
O CHC, que fornece serviços, incluindo serviços de saúde baseados em escolas e programas de abuso de substâncias, disse que o hacker não identificado comprometeu sua rede em 2 de janeiro para roubar os dados pessoais dos pacientes e informações de saúde sensíveis. Esses dados incluem endereços, números de telefone, diagnósticos, informações de tratamento, resultados de testes, números de Seguro Social e informações de seguro saúde dos pacientes.
Os aplicativos de monitoramento Cocospy, Spyic e Spyzie expõem dados de telefone de milhões de pessoas
Um trio de aplicativos de monitoramento expôs os dados pessoais de milhões de pessoas que, sem saber, os têm instalados em seus dispositivos, revelou um pesquisador de segurança ao TechCrunch em fevereiro.
Os três aplicativos - Cocospy, Spyic e Spyzie - compartilham a mesma vulnerabilidade de segurança que permite que qualquer pessoa acesse os dados pessoais, incluindo mensagens, fotos e registros de chamadas, de dispositivos que têm os aplicativos instalados, normalmente sem o conhecimento dos proprietários dos dispositivos.
A falha fácil de explorar também expõe os endereços de e-mail das pessoas que se inscreveram nos aplicativos de monitoramento. Isso permitiu que um pesquisador de segurança coletasse os endereços de e-mail de cerca de 3,2 milhões de clientes dos aplicativos Cocospy, Spyic e Spyzie, que foram fornecidos ao site de notificação de violação Have I Been Pwned.
O serviço de triagem de funcionários dos EUA, DISA, confirma violação afetando mais de 3 milhões de pessoas
A DISA, um provedor baseado no Texas de serviços de triagem de funcionários, incluindo testes de drogas e álcool e verificações de antecedentes, confirmou em fevereiro uma enorme violação de dados que aconteceu quase um ano antes, em abril de 2024.
Em uma declaração ao procurador-geral do Maine, a DISA disse que a violação afetou mais de 3,3 milhões de pessoas que haviam passado por testes de triagem de funcionários. Embora a empresa tenha dito que sua investigação interna "não conseguiu concluir definitivamente" quais dados específicos foram roubados, uma declaração separada no estado de Massachusetts confirma que números de Seguro Social, informações financeiras e documentos de identidade emitidos pelo governo estão entre os dados roubados.
A DISA culpou a violação a um hacker não identificado, que teve acesso a uma parte da rede da empresa por mais de dois meses antes de ser notado.
