Secretaria de Pernambuco deixa RG, CPF e laudos médicos expostos em site

Planilha de gratuidade no transporte público não contava com proteção; arquivo continha informações médicas e imagens de documentos

Giovanni Santa Rosa
Por
Segurança cibernética (Imagem: Pixabay/Pexels)

Uma planilha com dados de cerca de 340 cidadãos do estado de Pernambuco ficou exposta no site de uma das secretarias do governo. O arquivo continha informações de pessoas cadastradas no PE Livre Acesso, programa de gratuidade no transporte público. Ele trazia até mesmo imagens de documentos como RG e CPF, laudos médicos e informações sobre deficiências.

A informação chegou ao Tecnoblog na tarde de terça-feira (26). A página indicada estava hospedada no site da Secretaria do Desenvolvimento Social, Criança e Juventude. Nela, era possível navegar pela planilha sem digitar senha.

Imagens de documentos pessoais, como RG, CPF e comprovante de endereço, e documentos de saúde, como laudos médicos, podiam ser abertas e copiadas.

A planilha continha as seguintes colunas:

  • Protocolo
  • Nome Beneficiario
  • RG
  • CPF
  • Date de Nascimento
  • Tipo Deficiência
  • Nome da Mae
  • E-mail
  • Anexar copia FOTO:
  • Anexar copia RG (Identidade):
  • Anexar copia CPF
  • Anexar copia ENDEREÇO:
  • Laudo Médico Padrão:
  • Anexar copia RG (Identidade) Responsável
  • Anexar copia CPF Responsável
  • Data Cadastro
  • Data Empresa
  • Data Envio
  • TEM CARTÃO VEM LIVRE ACESSO RMR
  • Anexar Foto Cartão VEM LIVRE ACESSO
Página da Secretaria de Desenvolvimento Social, Criança e Juventude do governo de Pernambuco onde estava hospedada a planilha com dados sensíveis
Página da Secretaria de Desenvolvimento Social, Criança e Juventude do governo de Pernambuco onde estava hospedada a planilha com dados sensíveis (Imagem: Reprodução / Tecnoblog)
Parte da planilha com dados sensíveis
Parte da planilha com dados sensíveis (Imagem: Reprodução / Tecnoblog)
Parte da planilha com dados sensíveis
Parte da planilha com dados sensíveis (Imagem: Reprodução / Tecnoblog)
Parte da planilha com dados sensíveis
Parte da planilha com dados sensíveis (Imagem: Reprodução / Tecnoblog)
Parte da planilha com dados sensíveis
Parte da planilha com dados sensíveis (Imagem: Reprodução / Tecnoblog)
Documento de identidade que estava na planilha
Documento de identidade que estava na planilha (Imagem: Reprodução / Tecnoblog)
Laudo médico que estava na planilha
Laudo médico que estava na planilha (Imagem: Reprodução / Tecnoblog)

Na manhã desta quinta-feira (28), a página já aparecia protegida por senha. Mesmo assim, os arquivos ficaram sem proteção até a tarde do mesmo dia, quando foram totalmente ocultados.

Fato precisa ser comunicado à ANPD

O Tecnoblog conversou com a advogada Ana Teles, especialista em Lei Geral de Proteção de Dados Pessoais (LGPD), para entender melhor o caso.

Ela observa que não parece se tratar de um episódio de acesso indevido ou ataque de ransomware, que se tornaram comuns nos últimos anos. “Isso mais nos parece com um profundo descaso com a segurança e proteção de dados pessoais e dados pessoais sensíveis, o que torna o caso muito mais preocupante.”

Dados sensíveis, segundo a definição da LGPD, são aqueles que relacionados a opiniões políticas, filosóficas, religiosas, origem racial ou étnica e questões de saúde e vida sexual.

No caso da planilha do governo de Pernambuco, havia laudos médicos e informações sobre deficiências. O documento dizia respeito a um passe gratuito para transporte público dado a pessoas com deficiência. “A secretaria coletar tais dados para emitir o cartão de transporte pode até fazer sentido se a finalidade for legítima, mas expor ao público é completamente impensável”, diz Teles.

Mesmo sem invasão ou acesso indevido, o episódio é enquadrado com o incidente de segurança, no entendimento da advogada. “[Incidente de segurança é] qualquer evento atípico que interfira na perda ou no abalo dos três pilares da segurança da informação: confidencialidade, integridade e disponibilidade.” No caso, a confidencialidade foi comprometida.

Teles destaca que acontecimentos desse tipo precisam ser comunicados à Autoridade Nacional de Proteção de Dados, responsável por zelar pelo cumprimento da LGPD, e aos titulares dos dados, seja de forma geral ou individual, como for mais viável.

O que o governo de Pernambuco diz

O Tecnoblog procurou a Secretaria de Imprensa do governo de Pernambuco na quarta-feira (27) e recebeu a seguinte resposta:

A Secretaria de Desenvolvimento Social, Criança e Juventude (SDSCJ) de Pernambuco informa que, nesta quarta-feira (27), identificou a exposição, em sua página na internet, de dados de usuários cadastrados no PE Livre Acesso, serviço que consiste na emissão de carteiras de identificação que garantem a gratuidade para pessoas com deficiência no transporte intermunicipal de passageiros no Estado. O problema já foi corrigido. A SDSCJ está investigando o motivo da falha de segurança, visto que esse conteúdo sempre esteve hospedado sob proteção e invisível ao público. A secretaria lamenta o ocorrido, já está revendo processos no sentido de aperfeiçoar os mecanismos de segurança para proteger informações dessa natureza e está adotando outras providências cabíveis. O caso será comunicado à Autoridade Nacional de Proteção de Dados (ANPD).

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Temas populares