SPTrans comunica vazamento de 13 milhões de cadastros de usuários do Bilhete Único

Dados pessoais como nome, data de nascimento, CPF, RG, endereço, número de telefone, estado civil, naturalidade, sexo, entre outros, foram vazados. Em nota, a SPTrans informou o envio de uma notificação à ANPD, iniciando também a abertura de um procedimento de investigação criminal para apurar a origem e a autoria do vazamento

Compartilhar:

A SPTrans informou hoje (23) ao mercado que tomou conhecimento de um caso envolvendo vazamento de dados de usuários do Bilhete Único. De acordo com informações divulgadas pelo órgão, os dados contêm 13 milhões de cadastros, incluindo nome, data de nascimento, CPF, RG, endereço, número de telefone, estado civil, naturalidade, sexo, e-mail, entre outros, além de login e senha do portal de serviços da SPTrans na internet.

 

Ao tomar conhecimento do incidente na semana passada (15), a autarquia da Prefeitura de São Paulo enviou uma notificação à Autoridade Nacional de Proteção de Dados (ANPD) e, na sequência, comunicou a Divisão de Crimes Cibernéticos (DCCIBER) do Departamento Estadual de Investigações Criminais (DEIC) da Polícia Civil do Estado de SP. Com isso, foi iniciado a abertura de um procedimento de investigação criminal para apurar a origem e a autoria do vazamento, pois foi identificado que os dados expostos por terceiros têm como base o mês de abril de 2020.

 

“Não há necessidade de que os passageiros se dirijam a um posto de atendimento da SPTrans. Além disso, é importante esclarecer que os cartões de Bilhete Único permanecem ativos e os respectivos saldos estão preservados, não havendo quaisquer prejuízos nos créditos utilizados no serviço de transporte”, explica a nota.

 

Ainda em comunicado, o órgão repudiou o ato criminoso do qual, junto com a população, foi vítima e lamenta o incidente. Além disso, em consonância com a Lei Geral de Proteção de Dados Pessoais (LGPD), os titulares dos dados expostos estão sendo avisados sobre o incidente nesta sexta-feira (23) por e-mail, desde que tenham um endereço eletrônico válido e atualizado no seu cadastro.

 

“Como medida de segurança, a comunicação orienta todos a trocarem suas senhas no site do Bilhete Único. Haverá ainda publicação no site da SPTrans e a divulgação nas redes sociais será feita ao longo dos próximos dias, visando alcançar o maior número de pessoas”, completa o comunicado.


Recorrência de incidentes

 

No início desse mês, a prefeitura de São Paulo chegou a confirmar que detectou a ocorrência de um ataque cibernético contra os sistemas da SPTrans no dia 06 de dezembro, após uma análise realizada nos sistemas. O executivo municipal informou que o caso estava sendo avaliado pelo corpo técnico da empresa, mas que não foram detectadas exposições de dados sensíveis de nenhum usuário.

 

O executivo municipal assegurou ainda que, apesar da instabilidade gerada nos sistemas, tudo foi restabelecido e a utilização do Bilhete Único nos ônibus não foi afetada pelo incidente. Qualquer outra prestação de serviços por parte do SPTrans também foi preservada.

 

Na semana em questão, as suposições de ataque contra a companhia de transportes públicos de São Paulo começaram a circular na internet, através de publicações em mídias sociais. Elas davam conta de que o órgão lidava com um suposto incidente cibernético, impactando os serviços no site da prefeitura.

 

A Security Report disponibiliza o comunicado na íntegra da SPTrans divulgado nesta sexta-feira (23):


“A SPTrans informa que, na quinta-feira (15/12), tomou conhecimento de que seus sistemas foram alvo de um crime cibernético que resultou na exposição de dados cadastrais de usuários do Bilhete Único. A SPTrans identificou que os dados expostos por terceiros neste mês tem como base o mês de abril de 2020.

 

A SPTrans, após a confirmação dos fatos, notificou o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) e, na sequência, comunicou a Divisão de Crimes Cibernéticos (DCCIBER) do Departamento Estadual de Investigações Criminais (DEIC) da Polícia Civil do Estado de São Paulo, requerendo a abertura de um procedimento de investigação criminal para apurar a origem e a autoria do vazamento.

 

Os dados contêm 13 milhões de cadastros de usuários do Bilhete Único com: nome, nome social, data de nascimento, CPF, RG, endereço, número de telefone, filiação, PIS, matrícula de aluno, estado civil, naturalidade, sexo, e-mail, além de login e senha do portal de serviços da SPTrans na internet.

 

Não há necessidade de que os passageiros se dirijam a um posto de atendimento da SPTrans. Além disso, é importante esclarecer que os cartões de Bilhete Único permanecem ativos e os respectivos saldos estão preservados, não havendo quaisquer prejuízos nos créditos utilizados no serviço de transporte.

 

A SPTrans repudia o ato criminoso do qual, junto com a população, foi vítima e lamenta o incidente.

 

Em consonância com a Lei Geral de Proteção de Dados Pessoais (LGPD), a SPTrans informa que vem reforçando as medidas técnicas e de segurança para proteção dos dados pessoais dos usuários do Bilhete Único, inclusive por meio de contratação de empresas de segurança cibernética especializadas.

 

Guiados pela transparência e comportamento ético responsável, os titulares dos dados expostos estão sendo avisados sobre o incidente a partir desta sexta-feira (23) por e-mail, desde que tenham um endereço eletrônico válido e atualizado no seu cadastro. Como medida de segurança, a comunicação orienta todos a trocarem suas senhas no site do Bilhete Único. Haverá ainda publicação no site da SPTrans e a divulgação nas redes sociais será feita ao longo dos próximos dias, visando alcançar o maior número de pessoas.”

 

Conteúdos Relacionados

Security Report | Destaques

AT&T comunica acesso indevido aos dados dos clientes

Registros de chamadas telefônicas e mensagens de texto de quase todos os clientes foram baixados ilegalmente. Em nota, a companhia...
Security Report | Destaques

“Transparência é o fator-chave da relação entre SI e empresa”, afirma Gil Vega, CISO da Veeam

O atual líder de Segurança da Informação da vendor falou com exclusividade à Security Report sobre sua trajetória em diversos...
Security Report | Destaques

BRASPRESS retoma funcionamento do site oficial após ataque de ransomware

Incidente que causou a parada de diversos sistemas operacionais da companhia se deu ainda no começo dessa semana, e forçou...
Security Report | Destaques

Problemas técnicos causam perda de dados de 39 mil chaves Pix da 99Pay

Incidente ocorrido entre 26 de junho e 2 de julho desse ano foi revelado pelo próprio Banco Central do Brasil...