Hacker invade sistema da SPTrans e 13 milhões de usuários do Bilhete Único têm dados expostos. Dados como nome, CPF, número de telefone, e-mail, login e senha do portal foram vazados.
Empresa orienta os usuários a alterar senhas, mas informa que os cartões permanecem ativos e os respectivos saldos estão preservados.
O sistema da SPTrans, empresa responsável pelo gerenciamento do transporte coletivo da cidade de São Paulo, foi alvo de ataques cibernéticos que resultaram na exposição de dados de 13 milhões de usuários do Bilhete Único na última quinta feira, dia 22 de dezembro.
Segundo a SPTrans, foram expostos dados como nome, nome social, data de nascimento, CPF, RG, endereço, número de telefone, filiação, PIS, matrícula de aluno, estado civil, naturalidade, sexo, e-mail, além de login e senha do portal de serviços da SPTrans na internet.
Em nota, a SPTrans afirmou que os dados expostos neste mês tem como base o mês de abril de 2020.
A empresa diz ter notificado o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) e, na sequência, comunicou a Divisão de Crimes Cibernéticos (DCCIBER) do Departamento Estadual de Investigações Criminais (DEIC) da Polícia Civil do Estado de São Paulo, requerendo a abertura de um procedimento de investigação criminal para apurar a origem e a autoria do vazamento.
A empresa ainda afirma que não há necessidade de que os usuários se dirijam a um posto de atendimento da SPTrans.
Os titulares dos dados expostos estão sendo avisados sobre o incidente a partir desta sexta-feira (23) por e-mail, desde que tenham um endereço eletrônico válido e atualizado no seu cadastro.
Como medida de segurança, a comunicação orienta todos a trocarem suas senhas no site do Bilhete Único.
A SPTrans também que requereu a abertura de um procedimento de investigação criminal para apurar como se deu o vazamento de dados.
Não é o primeiro
Não é a primeira vez que a SPTrans tem falha de sistema que expõe base de dados do Bilhete Único. Em julho de 2020 publicamos aqui no Blog Minuto da Segurança, que uma vulnerabilidade de segurança permitia a qualquer um invadir o sistema e ter acesso à base de dados de usuários de Bilhete Único.
A falha foi relatada pelo profissional de segurança da informação, identificado como Moscow, é mais um caso que implica em risco à integridade, disponibilidade e confidencialidade – três pilares básicos da segurança da informação. Além dos pontos colocados por Moscow, caso haja o vazamento a empresa também estaria violando critérios da LGPD e, caso está já estivesse em vigor, a SPTrans poderia receber severas sansões e multas devido ao problema relatado.
Na época, Moscow afirmou que “é extremamente simples” obter os dados dos usuários cadastrados no sistema da São Paulo Transportes. Segundo Moscow, o atacante precisaria apenas do CPF e RG da vítima para ter acesso irrestrito aos dados sensíveis dos usuários, além da possibilidade de trocar a senha sem mesmo ter conhecimento dela. A descoberta aconteceu por acaso, sendo a fonte uma das pessoas cadastradas no sistema da própria SPTrans. Após o conhecimento da falha, entrou em contato com a empresa, mas não obteve retorno.
Em 2013, o Olhar Digital noticiou outro caso de vulnerabilidade de segurança, a qual permitia a qualquer um invadir o sistema e ter acesso à base de dados da mesma empresa. Na época, a brecha havia sido encontrada por um leitor e notificada à SPTrans pela nossa reportagem, entretanto, a responsável pela gestão de bilhetagem de transportes coletivos da capital negou a exposição das informações. Vale lembrar que no ano anterior, o cartão já tinha sido apontado como “infalível” desde 2006, sendo fonte de uma receita de quase R$ 310 milhões por mês, segundo informações do jornal Estadão.
Em 2018 o Defcon Lab detectou sucessivas publicações no site de compartilhamento de texto Pastebin que podem indicar compromentimento de serviços do Município de Recife/PE e a SP Trans (empresa de transporte coletivo de São Paulo).
Fonte: G1 & R7 & Olhar Digital & Defcon Lab
- Microsoft elimina bugs de dia zero ativamente explorados
- Gangue de ransomware usa nova exploit do MS Exchange para violar servidores
- Bug do macOS que permite que o malware ignore as verificações de segurança
- 3 maneiras dos invasores contornarem a segurança da nuvem
- Atualização de Segurança crítica para Citrix ADC e Citrix Gateway
- Como proteger seus dados em caso de roubo ou furto do seu celular
- Ataques cibernéticos devem continuar em 2023
- Uber é violado novamente após invasores comprometerem nuvem de terceiros
- Fraudes e golpes: como empresas e consumidores podem se proteger durante o período de altas nas compras online
- Desligamentos em tecnologia: nem sempre demitir é a melhor opção
- Webinar – Gestão de identidade: desafios da implementação
- Webinar – Inovando na Avaliação de Risco Cibernético e simulação do ROI
Deixe sua opinião!