Fonte: Canaltech
A SPTrans confirmou nesta sexta-feira (23) ter sido vítima de um ataque cibernético que levou à exposição de dados de 13 milhões de usuários do sistema Bilhete Único. O vazamento seria resultado de um incidente ocorrido na última quinta-feira (15), com as informações obtidas pelos responsáveis referentes a abril de 2020.
Segundo o comunicado oficial, foram expostos dados pessoais dos usuários do cartão de transporte como nome completo e social, data de nascimento, RG, CPF, endereço, número de telefone, gênero e filiação, além de informações como PIS e número de matrícula em instituições de ensino. Além disso, foram comprometidos o login e a senha de acesso ao portal de serviços da SPTrans, usado para consultas, alterações cadastrais e outras solicitações.
De acordo com o órgão, não há interrupção nos serviços nem bloqueio de cartões cujos usuários tiveram informações acessadas pelos bandidos. Saldos foram preservados e a instituição aponta que não existiram prejuízos relacionados aos créditos, que permanecem ativos e podem ser usados normalmente no transporte público das cidades em que o Bilhete Único é aceito. Não há necessidade de ir até um posto de atendimento presencial.
Enquanto segue investigando o caso ao lado da Polícia Civil do Estado de São Paulo, por meio da Divisão de Crimes Cibernéticos (DCCIBER), a SPTrans também está notificando os usuários atingidos pelo comprometimento. A recomendação é de troca de senhas a partir do portal do órgão, de forma a proteger as contas de acesso indevido.
Outra recomendação de segurança envolve a troca de senhas que sejam compartilhadas entre a SPTrans e outros serviços; uma prática de segurança não recomendada já que, em um vazamento como esse, outras plataformas também acabam expostas. Além disso, os usuários devem ficar atentos a contatos em nome da organização — que somente falará com os atingidos via e-mail — pelos bandidos, que podem estar em busca de mais dados, principalmente financeiros, ou pagamentos.
O ideal é ficar atento a mensagens de texto, contatos via WhatsApp e e-mails suspeitos, mesmo que relacionados à brecha. Informações não devem ser repassadas a terceiros nem inseridas em cadastros, a não ser que o usuário tenha certeza de estar acessando um domínio legítimo; na dúvida, o melhor é ignorar o contato e buscar informações através de plataformas oficiais.