Em fevereiro, uma mensagem de texto um tanto estranha do meu pai deu início a uma jornada de meses para desvendar um mistério. O enigma tem afligido um grupo peculiar de vítimas de um vazamento de dados ocorrido na Universidade Columbia no ano passado: pessoas que não têm absolutamente nenhuma conexão com a instituição de ensino.
A mensagem do meu pai continha a foto de uma carta enviada pela Columbia, informando-me que eu havia sido uma vítima de um incidente de segurança cibernética em junho do ano anterior. Esse evento expôs uma vasta gama de informações sensíveis, incluindo impressionantes 1,8 milhão de números de CPF.
Os comunicados públicos da Columbia sobre o vazamento, disponíveis em seu site, eram direcionados exclusivamente aos "membros da comunidade Columbia". Nestas notas, a universidade alertava que uma "parte não autorizada obteve informações sobre estudantes e candidatos relacionadas aos processos de admissão, matrícula e ajuda financeira, bem como certas informações pessoais associadas a alguns funcionários da Columbia". As principais notícias que seguiram o incidente também mencionaram apenas pessoas afiliadas à universidade como vítimas.
Quem vazou dados de quem não é da Columbia?
A situação ganha camadas de estranheza e preocupação quando se considera que o ativista por trás do vazamento, conforme reportado por veículos como Bloomberg e The Verge, estava supostamente motivado a expor o histórico da Columbia em relação a admissões "baseadas em ações afirmativas". Isso levanta a questão: como dados de pessoas sem ligação direta com a universidade foram parar nas mãos dos invasores?
O fato de meu CPF ter sido exposto, mesmo sem nunca ter sido aluno, candidato ou funcionário da Columbia, sugere uma abrangência muito maior no vazamento do que inicialmente divulgado. A carta da universidade, que chegou até meu pai, confirma que essa exposição não se limitou ao público interno da instituição. O enigma reside em como dados de terceiros, sem vínculo aparente, foram comprometidos em um incidente focado em informações de estudantes e colaboradores.
Normalmente, vazamentos de dados em instituições de ensino se concentram em informações de alunos, ex-alunos e funcionários. A inclusão de pessoas externas ao ecossistema da universidade, como meu caso, indica que os dados comprometidos podem ter vindo de fontes mais amplas ou interconectadas do que as que a Columbia reconhece publicamente. A busca por respostas sobre a origem e o motivo da inclusão desses dados é o que impulsionou essa investigação pessoal, revelando uma falha de segurança com implicações mais vastas do que se imaginava.