SPTrans: vazam dados de 13 milhões de usuários

A SPTrans, gestora do sistema de transporte de ônibus da capital paulista, foi alvo de um ataque hacker que expôs dados cadastrais de 13 milhões de usuários do Bilhete Único, cartão para pagamento da tarifa.

Segundo a companhia, os dados recém divulgados remontam a abril de 2020 e incluem informações como nome, nome social, data de nascimento, CPF, RG, endereço, telefone, filiação, PIS, matrícula de aluno, estado civil, naturalidade, sexo, e-mail, login e senha do portal de serviços da SPTrans.

Sob segredo da Justiça, o caso já foi notificado à Autoridade Nacional de Proteção de Dados (ANPD) e comunicado à Divisão de Crimes Cibernéticos (DCCIBER) do Departamento Estadual de Investigações Criminais (DEIC) da Polícia Civil de São Paulo.

Com isso, foi requerida a abertura de um procedimento de investigação criminal para apurar a origem e autoria do crime.

A organização declarou que está reforçando as medidas de segurança para a proteção de dados pessoais dos usuários do Bilhete Único através da contratação de empresas de segurança cibernéticas especializadas, que não tiveram os nomes revelados.

Em comunicado à imprensa, a SPTrans afirma que, desde a detecção do incidente, começou a alertar os afetados por e-mail, orientando-os a trocarem suas senhas de acesso no site.

Recentemente, a Companhia Paulista de Trens Metropolitanos (CPTM) também teve seus sistemas invadidos e danificados após um ataque cibernético de autoria do grupo de ransomware BlackByte.

Durante a invasão, foram afetados o site, o aplicativo para celulares e a intranet, bem como um sistema interno da empresa. Os criminosos contataram a CPTM via e-mail, exigindo o total de US$ 450 mil, cerca de R$ 2,4 milhões.

HISTÓRICO DE INCIDENTES

Ainda em 2012, o Tecnoblog noticiou que a Pontosec, consultoria de TI especializada em segurança da informação, relatou à SPTrans uma "monumental falha no sistema de Bilhete Único".

Na época, a empresa afirmou ter encontrado um meio de copiar créditos no cartão para usar o ecossistema de transportes sem de fato pagar pela passagem.

Conforme o texto, o problema já era conhecido há um ano, mas não foi resolvido com a agilidade necessária, além de a SPTrans ter deixado a desejar em sua transparência com o público.

Diante da situação, a companhia se comprometeu a trocar 25 milhões de bilhetes ao longo de 30 dias.

Em outra ocasião, desta vez em 2016, a Veja SP publicou que o DEIC prendeu um suspeito de participar de uma quadrilha especializada em fraudar o Bilhete Único.

Os golpistas vendiam bilhetes irregulares em estações da CPTM na Grande São Paulo e na capital como resultado de um ataque hacker originado no Nordeste, que invadiu o departamento de informática da empresa e criou um esquema para fraudar o sistema de créditos dos bilhetes.

A Globo informou que a CPTM alertou a SPTrans e pediu o cancelamento de 1,7 mil bilhetes em maio daquele ano. Nos primeiros 18 dias do mês, a fraude já somava R$ 450 mil diante de uma suspeita da polícia de R$ 600 mil totais.

Fundada em 1995, a SPTrans gerencia um dos maiores sistemas de transporte de ônibus do mundo.

Em média, a companhia transporta 10 milhões de passageiros diariamente, com auxílio de um frota de 14,5 mil coletivos cadastrados que percorrem 3 milhões de quilômetros em dias úteis. São 200 mil viagens programadas distribuídas em 1,3 mil linhas.