Em junho de 2024, a Cambridge University Press & Assessment — o braço de publicações e avaliações da Universidade de Cambridge — foi alvo do grupo de ransomware INC Ransomware, que opera por dupla extorsão: além de comprometer sistemas, rouba dados e ameaça publicá-los caso o resgate não seja pago. Como medida de precaução, parte dos sistemas foi desligada, conforme reportado pela Times Higher Education e pela GÉANT Security.
Ao fim de junho, o grupo publicou em seu site de vazamentos documentos internos como prova do ataque — faturas de fornecedores, contratos de serviço e correspondências confidenciais. Não se tratou de um banco de dados de clientes, mas exatamente do tipo de documento de negócio que qualquer empresa acumula no dia a dia e raramente protege com o mesmo cuidado dado a sistemas de produção.
É aí que mora a lição para qualquer gestor. O dano mais sério nem sempre vem da base de clientes: vem de contratos, propostas, faturas e e-mails que, expostos, abrem flancos jurídicos, comerciais e de reputação. E, na dupla extorsão, ter backup não basta — o problema deixa de ser "voltar a operar" e passa a ser "esses documentos não podem vir a público".
Sua empresa sabe onde estão seus contratos e dados sensíveis — e quem pode acessá-los?
Reduzir esse risco começa por enxergar e classificar a informação: saber onde vivem os documentos críticos, restringir acesso ao mínimo necessário, exigir autenticação multifator e monitorar com detecção e resposta 24/7 para conter o atacante antes da exfiltração. Somado a backups isolados e a um plano de resposta a incidentes ensaiado, isso transforma um vazamento potencialmente devastador num incidente contido. Proteger o dado sensível não é só evitar a parada — é evitar que o que é confidencial deixe de ser.