A SPTrans informou hoje (23) ao mercado que tomou conhecimento de um caso envolvendo vazamento de dados de usuários do Bilhete Único. De acordo com informações divulgadas pelo órgão, os dados contêm 13 milhões de cadastros, incluindo nome, data de nascimento, CPF, RG, endereço, número de telefone, estado civil, naturalidade, sexo, e-mail, entre outros, além de login e senha do portal de serviços da SPTrans na internet.
Ao tomar conhecimento do incidente na semana passada (15), a autarquia da Prefeitura de São Paulo enviou uma notificação à Autoridade Nacional de Proteção de Dados (ANPD) e, na sequência, comunicou a Divisão de Crimes Cibernéticos (DCCIBER) do Departamento Estadual de Investigações Criminais (DEIC) da Polícia Civil do Estado de SP. Com isso, foi iniciado a abertura de um procedimento de investigação criminal para apurar a origem e a autoria do vazamento, pois foi identificado que os dados expostos por terceiros têm como base o mês de abril de 2020.
“Não há necessidade de que os passageiros se dirijam a um posto de atendimento da SPTrans. Além disso, é importante esclarecer que os cartões de Bilhete Único permanecem ativos e os respectivos saldos estão preservados, não havendo quaisquer prejuízos nos créditos utilizados no serviço de transporte”, explica a nota.
Ainda em comunicado, o órgão repudiou o ato criminoso do qual, junto com a população, foi vítima e lamenta o incidente. Além disso, em consonância com a Lei Geral de Proteção de Dados Pessoais (LGPD), os titulares dos dados expostos estão sendo avisados sobre o incidente nesta sexta-feira (23) por e-mail, desde que tenham um endereço eletrônico válido e atualizado no seu cadastro.
“Como medida de segurança, a comunicação orienta todos a trocarem suas senhas no site do Bilhete Único. Haverá ainda publicação no site da SPTrans e a divulgação nas redes sociais será feita ao longo dos próximos dias, visando alcançar o maior número de pessoas”, completa o comunicado.
Recorrência de incidentes
No início desse mês, a prefeitura de São Paulo chegou a confirmar que detectou a ocorrência de um ataque cibernético contra os sistemas da SPTrans no dia 06 de dezembro, após uma análise realizada nos sistemas. O executivo municipal informou que o caso estava sendo avaliado pelo corpo técnico da empresa, mas que não foram detectadas exposições de dados sensíveis de nenhum usuário.
O executivo municipal assegurou ainda que, apesar da instabilidade gerada nos sistemas, tudo foi restabelecido e a utilização do Bilhete Único nos ônibus não foi afetada pelo incidente. Qualquer outra prestação de serviços por parte do SPTrans também foi preservada.
Na semana em questão, as suposições de ataque contra a companhia de transportes públicos de São Paulo começaram a circular na internet, através de publicações em mídias sociais. Elas davam conta de que o órgão lidava com um suposto incidente cibernético, impactando os serviços no site da prefeitura.
A Security Report disponibiliza o comunicado na íntegra da SPTrans divulgado nesta sexta-feira (23):
“A SPTrans informa que, na quinta-feira (15/12), tomou conhecimento de que seus sistemas foram alvo de um crime cibernético que resultou na exposição de dados cadastrais de usuários do Bilhete Único. A SPTrans identificou que os dados expostos por terceiros neste mês tem como base o mês de abril de 2020.
A SPTrans, após a confirmação dos fatos, notificou o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) e, na sequência, comunicou a Divisão de Crimes Cibernéticos (DCCIBER) do Departamento Estadual de Investigações Criminais (DEIC) da Polícia Civil do Estado de São Paulo, requerendo a abertura de um procedimento de investigação criminal para apurar a origem e a autoria do vazamento.
Os dados contêm 13 milhões de cadastros de usuários do Bilhete Único com: nome, nome social, data de nascimento, CPF, RG, endereço, número de telefone, filiação, PIS, matrícula de aluno, estado civil, naturalidade, sexo, e-mail, além de login e senha do portal de serviços da SPTrans na internet.
Não há necessidade de que os passageiros se dirijam a um posto de atendimento da SPTrans. Além disso, é importante esclarecer que os cartões de Bilhete Único permanecem ativos e os respectivos saldos estão preservados, não havendo quaisquer prejuízos nos créditos utilizados no serviço de transporte.
A SPTrans repudia o ato criminoso do qual, junto com a população, foi vítima e lamenta o incidente.
Em consonância com a Lei Geral de Proteção de Dados Pessoais (LGPD), a SPTrans informa que vem reforçando as medidas técnicas e de segurança para proteção dos dados pessoais dos usuários do Bilhete Único, inclusive por meio de contratação de empresas de segurança cibernética especializadas.
Guiados pela transparência e comportamento ético responsável, os titulares dos dados expostos estão sendo avisados sobre o incidente a partir desta sexta-feira (23) por e-mail, desde que tenham um endereço eletrônico válido e atualizado no seu cadastro. Como medida de segurança, a comunicação orienta todos a trocarem suas senhas no site do Bilhete Único. Haverá ainda publicação no site da SPTrans e a divulgação nas redes sociais será feita ao longo dos próximos dias, visando alcançar o maior número de pessoas.”