Vazamento de dados pessoais de 13 milhões de usuários do Bilhete Único em São Paulo.

A SPTrans deu um presentão de Natal a 13 milhões de usuários do sistema de transporte público da capital paulista. Na última sexta (23), a responsável pelo sistema do Bilhete Único avisou que os dados pessoais de toda essa gente vazaram.

Vazaram nome, nome social, data de nascimento, CPF, RG, endereço, número de telefone, filiação, PIS, matrícula de aluno, estado civil, naturalidade, sexo, e-mail, além de login e senha do portal de serviços da SPTrans na internet.

O evento ocorreu em abril de 2020, mas só agora, dois anos e meio depois, foi descoberto após a troca da equipe de segurança. De acordo com a SPTrans, o vazamento decorreu de um “crime cibernético”. A empresa comunicou a ANPD e a Polícia Civil de São Paulo, e, segundo uma advogada especializada em LGPD ouvida pelo Diário do Transporte, terá que provar que não contribuiu ou deu brecha à invasão.

Como mitigações, a SPTrans está avisando os usuários afetados por e-mail e “orienta” a troca de senhas. Os bilhetes continuam valendo e não há necessidade dos usuários procurarem postos de atendimento. Via Diário do Transporte (2).

28/12/22, 8h43 ·

Newsletter

O Manual no seu e-mail. Três edições por semana — terça, sexta e sábado. Grátis. Cancele quando quiser.

Acompanhe

Deixe um comentário

É possível formatar o texto do comentário com HTML ou Markdown. Seu e-mail não será exposto. Antes de comentar, leia isto.

7 comentários

  1. Se já é ruim esses vazamentos ”clássicos”, quero ver como vai ser quando começarem a vazar dados biométricos e digitalizações de documentos também. Digital, face id, foto do documento de identidade ou CNH e etc, que agora vários cadastros exigem para fazer. Enquanto eu posso trocar de senha com alguma facilidade, não posso exatamente mudar a cara assim.

    Responder

    1. Creio que isso possa ser mais complexo. Não entendo tanto de uso de biometria, mas imagino que a complexidade para o uso destes dados impede algo mais grave.

      Não que hoje não exista fraudes – em São Paulo há lugares que ainda usam digitais copiadas em cola latex e gente que usa foto para autenticar provas do Detran por exemplo. Só que isso sei que é um problema mais do jeito que foi “formatado” a forma de educação de trânsito do que só das fraudes.

      E isso é uma coisa. Outra é usar a FaceID ou a senha biométrica de um banco no Caixa Eletrônico por exemplo.

      Responder

  2. Recebi em meu e-mail um aviso de compra de um fogão na loja virtual da Brastemp. Uma cacetada de mais de R$ 3k!!! Felizmente, antes que eu entrasse em contato com a Brastemp, ela me ligou para confirmar e consegui cancelar a compra.
    Julgando pelo fato de a compra ter sido feita num antigo endereço meu, acho que agora sei de onde os dados foram acessados. Mais do que isso, acho que esses vigaristas não estavam de olho no dinheiro que você tem de créditos no Bilhete Único, mas sim nos dados, estes sim um ativo muito valioso para quem quer conquistar às custas dos outros. Valei-me!

    Responder

  3. Eu queria entender uma coisa ,como que o evento ocorreu em 2020 se o cadastro da minha filha eu fiz em março de 2022 e os mesmo foram roubados,pois recebi a notificação da Sptrans por email. Ninguém consegue me explicar.
    Nós usuários vamos esquentar muito a cabeça ainda , e a Sptrans só diz para mudarmos a senha ,depois que nossos dados foram todos roubados. Um absurdo…

    Responder

    1. Provavelmente mandaram a notificação para toda a base atual, incluindo aqueles que sequer eram usuários em 2020.

      Não surpreenderia esse descuido considerando o evento em si (o vazamento), né?

      Responder

  4. Recebi o e-mail com o aviso uns dias depois da publicação do vazamento.

    O site da SPTrans aparenta ser simples (e feito em ASP, tecnologia de programação de sites da Microsoft que aparentemente está em desuso, diga-se).

    Eu já não duvido de nada mais. A SPTrans já sofria também com a emissão de passagens de trens sem pagar e com clonagens do Bilhete Único (que foi por muito tempo martelado sobre esta possibilidade, mas depois visto a gravidade e com isso feito um processo para mudar a forma de uso do BU, agora obrigando a usa-lo com identificação e limitação dos cartões em posse).

    E a sensação de que os próximos 4 anos o transporte público paulista vai ser sucateado é alta demais…

    Responder

    1. O problema não é você usar uma tecnologia estável e confiável, como o ASP, e sim, não atualizar a “base” em que ele é executado. Trabalhei por alguns anos numa prestadora de serviços para vários estados, o Windows Server e suas tecnologias são amplamente usadas pelo governo, mas não é incomum você ver sistemas gigantes que não são atualizados há 5-8 anos.

      Grande maioria desses vazamentos ocorrem por exploração de algum CVE que não foi corrigido, porquê o sistema não é mantido há anos. Um exemplo clássico disso é os servidores do ITA que rodam uma versão do Debian que deixou de ser suportada há anos.

      Responder