Os dados pessoais de 705 mil ex-candidatos ao Parcoursup foram roubados. O ataque cibernético ocorreu no outono passado. O ministério levou cinco meses para perceber a exfiltração de informações….
O ataque cibernético ocorreu nas sombras. Em outubro de 2025, um invasor conseguiu se infiltrar em um módulo interno do computador do Parcoursupo portal nacional de orientação pós-bacharelado usado por centenas de milhares de estudantes do ensino médio todos os anos. O hacker não lançou um ataque frontal contra os servidores do Parcoursup. Ele simplesmente usou os identificadores de um agente da região acadêmica da Occitânia.
Com os identificadores em sua posse, ele foi capaz fingir ser o agente e entre no sistema. Sem ser detectado, ele conseguiu acessar silenciosamente uma ferramenta interna de gerenciamento de dados. Esta é uma das técnicas mais difundidas em ataques cibernéticos contra serviços públicos franceses. Como sempre, os vazamentos de dados alimentam outros vazamentos de dados. Quanto mais informações houver online, mais munição os cibercriminosos terão para orquestrar novos ataques cibernéticos.
Leia também: Hack da Agência Nacional de Títulos Seguros – 2 falhas de segurança nunca foram corrigidas, aborda pesquisador
Dados de 705.000 pessoas na natureza
Ao entrar pela porta da frente, o hacker conseguiu apreender os dados pessoais dos candidatos que manifestaram vontade ou residiam na Occitânia durante as sessões de 2023 e 2025. Segundo equipas do Ministério do Ensino Superior, Investigação e Espaço, a fuga diz respeito a 705 mil ex-candidatos.
O escopo das informações roubadas é particularmente vasto. Entre as informações comprometidas, encontramos nomes, nomes, datas de nascimento e nacionalidades das vítimas, endereços postais, endereços de e-mail e números de telefone. Os dados das escolas também foram hackeados, como o curso frequentado, a formação prevista e a situação da bolsa. No caso dos candidatos menores de idade, o agressor também conseguiu obter informações sobre os pais ou responsáveis legais, como parentesco e categoria socioprofissional. Todos esses dados podem alimentar golpes direcionados.
Com nome, sobrenome, endereço de e-mail e informações sobre sua formação educacional, um golpista pode escreva uma mensagem muito credívelpersonalizado e difícil de distinguir de uma comunicação autêntica do Parcoursup ou do ministério. O ministério chama “todos os usuários preocupados devem estar atentos a possíveis tentativas de phishing, fraude ou roubo de identidade que permanecem possíveis após esta divulgação”.
Leia também: U Stores foram hackeadas – dados de clientes foram comprometidos
Um ataque cibernético que quase passou despercebido
De acordo com a lei e o GDPR, o ministério contactou a CNIL (Comissão Nacional de Tecnologia da Informação e Liberdades) e apresentou uma queixa ao Ministério Público de Paris. Medidas de segurança reforçadas foram implementadas após a descoberta do vazamento. O “As equipas técnicas foram imediatamente mobilizadas para implementar medidas de segurança reforçadas: anonimização do módulo de gestão atribuído para todas as sessões, incluindo a sessão de 2026; revisão de identificadores e palavras-passe e endurecimento das condições de acesso»detalha o comunicado de imprensa.
O que torna este incidente particularmente preocupante é o tempo de resposta das autoridades envolvidas. O ataque só foi de facto comunicado às equipas do Ministério do Ensino Superior “durante o mês de março” de 2026, ou seja, quase cinco meses após os acontecimentos. Ou seja, o vazamento quase passou despercebido. Atualmente não está claro como o ministério finalmente tomou conhecimento do ataque cibernético. O comunicado de imprensa fala apenas de “um relatório”, que pode vir de um investigador de segurança. Nesta fase, não se sabe se a informação comprometida já está a ser distribuída nos mercados negros da dark web.
Esta nova fuga de informação surge poucos dias depois da pirataria informática à Agência Nacional de Títulos Seguros (ANTS), entidade responsável pela emissão de bilhetes de identidade, passaportes, cartas de condução e certificados de registo. Acrescenta-se à longa lista de fugas de dados que ocorreram em França nos últimos meses e que afetaram muitos serviços públicos, como a Educação Nacional e o Service-public.gouv.fr. Diante do recrudescimento dos ataques, a França contra-atacou prendendo um dos hackers responsáveis pela explosão dos vazamentos, um hacker que se autodenomina “HexDex”.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.