A SPTrans, empresa que gerencia o serviço de ônibus na capital do estado de São Paulo, publicou uma nota no dia 23 de dezembro de 2022 sobre um vazamento de dados de 13 milhões de usuários do Bilhete Único, um cartão interligado ao vale-transporte que facilita o pagamento na hora do embarque e contém certos benefícios para o usuário.
Segundo a nota, o vazamento foi descoberto no dia 15 de dezembro e os dados são relativos ao ano de 2020. Conforme a legislação, o crime foi imediatamente relatado às autoridades responsáveis e está sendo investigado. Além do login e senha do portal de serviços da SPTrans na internet, e-mail e número de telefone, os dados roubados contém as seguintes informações dos usuários:
- Nome;
- Nome social;
- Data de nascimento;
- CPF;
- RG;
- Endereço;
- Filiação;
- PIS;
- Matrícula de aluno
- Estado civil;
- Naturalidade;
- Sexo.
O prefeito da capital comentou que o vazamento na verdade teria ocorrido em 2020, mas só foi percebido agora, com a troca de empresa responsável pela segurança do sistema e ainda ninguém sabe ao certo o que foi feito com os dados. Os usuários afetados estão sendo notificados e devem trocar a sua senha na plataforma do serviço e em outros sites em que utilizem a mesma senha.
Voltando no tempo
O Bilhete Único tem um curioso histórico de vazamento de dados que vale a pena conferir. Desde 2013 já era relatado como era fácil roubar dados dos usuários, mas a empresa negava o problema. Em 2020, um profissional da segurança da informação denominado Moscow, informou que para acessar ou até modificar os dados de algum usuário, bastava saber o RG ou o CPF da vítima, dessa forma, o cadastro de mais de 36 milhões de usuários poderia ser acessado sem senha.
Sendo assim, os dados obtidos por outras fontes, poderiam ser utilizados para adquirir ainda mais informações sobre as vítimas pelo sistema da SPTrans. Também era possível utilizar a força bruta para tentar adivinhar números de documentos e roubar dados aleatoriamente.