O vazamento nosso de cada dia atingiu a SPTrans (São Paulo Transporte S/A), Sociedade de Economia Mista controlada pelo município de São Paulo que tem por finalidade a gestão do sistema de transporte público por ônibus em São Paulo.
O vazamento foi publicado em blog e contém mais 284 mil linhas de registros que incluem ID de usuário, e-mails, senha, pergunta secreta e a resposta (para recuperação de senha) e, em alguns casos, número de telefone.
A motivação declinada para o vazamento de informações foi a seguinte:
“Cyber security” is a joke.
You sell false security with beautiful words. They are just children with expensive toys that they don’t even know how to use.
LGPD, GDPR, whatever the alphabet soup they are going to invent. They will never outdo a kid with his old computer that doesn’t cost the price of his silk tie.
Do you know why? Why we do a lot with little.
O arquivo disponibilizado para download (42MB) em site de compartilhamento de arquivos contém um arquivo de MS Excel com as informações pessoais de usuários de serviços da SPTrans.
Parte da mensagem é extramente preocupante, pois o post indica que esse arquivo seria apenas uma amostra:
A small sample of Oracle. Make no mistake, we already have the entire bank.
A publicação vai adiante e questiona a Lei Geral de Proteção de Dados Pessoais (LGPD):
Where does your data protection law go now?
Esperamos que a nova Autoridade Nacional de Proteção de Dados (ANPD) nasça atenta para esse tipo de violação da proteção de dados pessoais de cidadãos brasileiros.