Eleição do Vasco: empresa responde após dados pessoais serem expostos

Site da Eleja Online para eleição do Vasco expôs dados de sócios torcedores; empresa diz que dados estavam em domínio público

Felipe Ventura
Por
• Atualizado há 4 meses
Eleja Online (Imagem: Reprodução)
Eleja Online (Imagem: Reprodução)

O Vasco da Gama realizou uma eleição para presidente do time este mês e, segundo o Tecnoblog revelou com exclusividade, o site da Eleja Online usado para o cadastro expôs dados dos sócios torcedores. A empresa respondeu admitindo a brecha de segurança, mas alega que isso não foi um problema porque os dados estavam “em domínio público”.

Para recapitular: era possível usar uma URL específica no site da Eleja Online, incluindo o número da matrícula, para obter dados pessoais de sócios torcedores do Vasco. Isso incluía o nome completo, CPF, data de nascimento e categoria (geral, patrimonial, remido, benfeitor remido etc.). Um especialista em segurança analisou essa falha e conseguiu obter 5.590 cadastros em menos de duas horas.

O Tecnoblog entrou em contato com o Eleja Online em 12 de novembro através de dois endereços de e-mail, mas não obteve resposta. A assessoria de imprensa do Vasco também não retornou nossa mensagem. No dia seguinte, publicamos a matéria.

Dados vazados de sócios torcedores do Vasco (Imagem: Reprodução)
Dados vazados de sócios torcedores do Vasco (Imagem: Reprodução)

Pouco tempo depois, um leitor apontou que os dados de quase 8.500 torcedores estavam no site do próprio Vasco, em um PDF não-pesquisável (o arquivo reúne imagens escaneadas). A brecha na página de cadastro permitia obter essas informações em texto puro.

Empresa admite brecha de segurança

Em nota de pronunciamento enviada em 19 de novembro, a Eleja Online afirma que sua ferramenta para eleição do Vasco era um facilitador cadastral, mas “esta facilidade foi explorada indevidamente para obtenção de dados – mesmo que estes se encontravam em domínio público – de demais eleitores”. Ela garante que documentos anexos, como fotos e comprovantes de residência, permaneceram protegidos.

A empresa admitiu a brecha de segurança, mas minimiza o problema dizendo que as informações expostas já haviam sido publicadas pelo Vasco em outubro: “sendo assim, não havia qualquer obrigação de nossa parte em manter esses dados em sigilo”.

Vasco publicou lista com dados de torcedores (Imagem: Reprodução)
Vasco publicou lista com dados de torcedores (Imagem: Reprodução)

Além disso, a Eleja Online menciona a LGPD (Lei Geral de Proteção de Dados Pessoais) para dizer que essa obtenção de dados é crime, porque o acesso foi feito de maneira indevida e as informações foram divulgadas, segundo a empresa, “de forma irresponsável e com o simples intuito de causar confusão no eleitorado”. Ela promete tomar as medidas cabíveis “a fim de levar este(s) criminoso(s) a responder legalmente por essas atitudes”.

E a LGPD?

Mas e quanto aos potenciais prejuízos de ter os dados expostos? O Tecnoblog entrou em contato com a Crialesse e Garcia Sociedade de Advogados, especializada em direito digital, para entender melhor esta situação.

Eles acreditam que, mesmo que os dados tenham sido disponibilizados pelo Vasco, a responsabilidade pode ser considerada solidária em caso de eventuais danos aos titulares de dados — no caso, os sócios torcedores.

“O controlador ou o operador de dados pessoais pode ser responsabilizado e condenado a indenizar os danos que possam ocorreram em razão da violação da segurança dos dados quando deixarem de adotar as medidas de segurança previstas na LGPD”, eles explicam.

Além disso, um dos princípios da LGPD é a necessidade: ou seja, o tratamento de dados pessoais deve ficar limitado ao mínimo necessário para realizar uma atividade. “Neste caso, era mesmo necessário ao Vasco da Gama disponibilizar a lista com tais dados?”, questiona o escritório de advocacia.

Outro princípio da LGPD, claro, é a segurança: o responsável pelos dados pessoais deve adotar medidas de proteção contra acessos não autorizados para impedir que essas informações sejam divulgadas.

Eleja Online se pronuncia

Abaixo, segue a nota de pronunciamento da Eleja Online na íntegra:

Viemos por meio desta nos pronunciar a respeito de um vídeo que foi compartilhado nas redes, cujo teor tem ligação com a eleição online do Club de Regatas Vasco da Gama, que fora realizada no último sábado (14/11/2020).

Nossa posição oficial é de repúdio ao conteúdo apresentado. Na demonstração torpe e de caráter manipulativo, era possível perceber falhas de segurança em nosso sistema multiplataforma o que, em nenhum momento, vem de encontro à realidade dos fatos.

A ferramenta para eleição do Clube fora configurada com um facilitador cadastral, que auxiliava o torcedor no preenchimento do pré-cadastro. O que ocorreu foi que esta facilidade foi explorada indevidamente para obtenção de dados – mesmo que estes se encontravam em domínio público – de demais eleitores. Salientamos que toda a documentação anexa como fotos, comprovantes de residência e demais anexos, permaneceram protegidos pelo Eleja Online. Este ato de obtenção de dados é considerado crime, de acordo com a Lei Geral de Proteção de Dados, pois o cidadão que o fez não apenas acessou informações as quais não possuía titularidade ou autorização para tal – dentro das diretrizes de uso aceitável de nosso sistema -, como também as divulgou de forma irresponsável e com o simples intuito de causar confusão no eleitorado. Deixamos claro que estamos tomando as providências cabíveis, a fim de levar este(s) criminoso(s) a responder legalmente por essas atitudes indevidas supracitadas.

Esta foi mais uma ação criminosa da qual fomos vítimas, juntamente com outros ataques cibernéticos ocorridos durante o período em que a inscrição esteve no ar, e que foram mitigados por nossa equipe de segurança. Ressaltamos também que todas as informações coletadas por esse método ilegal foram disponibilizadas por nossos contratantes – Clube Vasco – através de publicação no dia 2 de Outubro de 2020 (conforme link »»» . Sendo assim, não havia qualquer obrigação de nossa parte em manter esses dados em sigilo uma vez que, como já mencionado, foram previamente à público pelo próprio site Supervasco.

Ressaltamos que nossa relação com o Club de Regatas Vasco da Gama permanece sendo estritamente comercial, com seu representante à época, Sr. Faues Cherene Jassus, o Mussa, por contrato assinado entre ambas as partes. Para nossa empresa, independentemente do resultado final do pleito, o que importou foi sua condução da maneira mais transparente e com toda a lisura que a ocasião exigia.

Para tanto, além dos anos de experiência e sucesso no mercado, também fomos auditados por mais de uma empresa de auditoria privada, que foram contratadas pelas chapas que disputavam o pleito. Tratada a ação como corriqueira em nosso meio – e necessária – salientamos que não nos abstivemos em fornecer todas as informações necessárias para comprovar a segurança e conformidade do processo eleitoral.

Por fim, independente do evento ocorrido, agradecemos pelos elogios ao sistema Eleja Online provenientes dos torcedores que participaram daquele que foi o primeiro processo democrático digital do Club de Regatas Vasco da Gama.

Receba mais sobre Club de Regatas Vasco da Gama na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Relacionados

O que fazer em caso de vazamento de dados pessoais?
O que fazer em caso de vazamento de dados pessoais?
Signal: golpe em sistema de verificação por SMS expõe telefones de usuários
Signal: golpe em sistema de verificação por SMS expõe telefones de usuários
O que é doxxing?
O que é doxxing?
O que é GDPR e que diferença isso faz para quem é brasileiro
O que é GDPR e que diferença isso faz para quem é brasileiro
Vazamento de dados de clientes do McDonald’s inclui e-mail, CPF e telefone
Vazamento de dados de clientes do McDonald’s inclui e-mail, CPF e telefone
Dados vinculados a 87 mil chaves Pix da SumUp vazaram
Dados vinculados a 87 mil chaves Pix da SumUp vazaram
Como saber se seus dados de e-mail ou senha foram vazados na internet
Como saber se seus dados de e-mail ou senha foram vazados na internet
Dados de 13 milhões ficam expostos após invasão a sistema da SPTrans
Dados de 13 milhões ficam expostos após invasão a sistema da SPTrans
Dados de 229 milhões de usuários do Deezer foram expostos na web
Dados de 229 milhões de usuários do Deezer foram expostos na web
O que é rootkit?
O que é rootkit?