A SPTrans confirmou que os dados de 13 milhões de usuários do Bilhete Único foram vazados após o seu banco de dados ter sido alvo de um ataque cibernético no último dia 15.
Segundo a empresa as informações de pessoas cadastradas no Bilhete Único, até abril de 2020, podem ter sido expostas. Os dados vazados incluem: nome, nome social, data de nascimento, sexo, filiação, naturalidade, número do CPF, RG, endereço, telefone, número do PIS, matrícula de aluno (no caso de estudante) e e-mail.
É importante destacar que as informações de login e senha cadastradas no portal da SPTrans também foram expostas.
A empresa notificou o ciberataque à Autoridade Nacional de Proteção de Dados (ANPD) e à Polícia Civil. Andrea Leal, advogada especializada em LGPD, em entrevista ao site Diário do Transporte, afirma:
Embora tenha sido vítima de um ataque, provavelmente externo, que causou o vazamento de dados, a regulação brasileira vinculada ao tema exige que a empresa atingida comprove que não contribuiu para a vulnerabilidade do sistema (por exemplo, ao adotar medidas insuficientes de defesa cibernética, ou não realizar treinamento necessário das pessoas responsáveis pelo tratamento de dados).
A LGPD, por exemplo, dispõe de tratamento diferenciado para os dados geridos por entes públicos e a sua aplicabilidade ainda está ganhando robustez através dos casos práticos, seja por parte da ANPD, seja por parte do judiciário.
Confira o comunicado da SPTrans na íntegra:
A SPTrans informa que, na quinta-feira (15/12), tomou conhecimento de que seus sistemas foram alvo de um crime cibernético que resultou na exposição de dados cadastrais de usuários do Bilhete Único. A SPTrans identificou que os dados expostos por terceiros neste mês tem como base o mês de abril de 2020. A SPTrans, após a confirmação dos fatos, notificou o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) e, na sequência, comunicou a Divisão de Crimes Cibernéticos (DCCIBER) do Departamento Estadual de Investigações Criminais (DEIC) da Polícia Civil do Estado de São Paulo, requerendo a abertura de um procedimento de investigação criminal para apurar a origem e a autoria do vazamento. Os dados contêm 13 milhões de cadastros de usuários do Bilhete Único com: nome, nome social, data de nascimento, CPF, RG, endereço, número de telefone, filiação, PIS, matrícula de aluno, estado civil, naturalidade, sexo, e-mail, além de login e senha do portal de serviços da SPTrans na internet. Não há necessidade de que os passageiros se dirijam a um posto de atendimento da SPTrans. Além disso, é importante esclarecer que os cartões de Bilhete Único permanecem ativos e os respectivos saldos estão preservados, não havendo quaisquer prejuízos nos créditos utilizados no serviço de transporte. A SPTrans repudia o ato criminoso do qual, junto com a população, foi vítima e lamenta o incidente. Em consonância com a Lei Geral de Proteção de Dados Pessoais (LGPD), a SPTrans informa que vem reforçando as medidas técnicas e de segurança para proteção dos dados pessoais dos usuários do Bilhete Único, inclusive por meio de contratação de empresas de segurança cibernética especializadas. Guiados pela transparência e comportamento ético responsável, os titulares dos dados expostos estão sendo avisados sobre o incidente a partir desta sexta-feira (23) por e-mail, desde que tenham um endereço eletrônico válido e atualizado no seu cadastro. Como medida de segurança, a comunicação orienta todos a trocarem suas senhas no site do Bilhete Único. Haverá ainda publicação no site da SPTrans e a divulgação nas redes sociais será feita ao longo dos próximos dias, visando alcançar o maior número de pessoas.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk
