Na última semana, a SPTrans, empresa que gerencia os ônibus da cidade de São Paulo (SP), foi vítima de uma ataque cibernético a seu sistema. O incidente fez com que 13 milhões de cadastros de usuários do Bilhete Único fossem expostos em uma invasão provocada por cibercriminosos.

Entre as informações expostas estavam nome, nome social, data de nascimento, CPF, RG, endereço, número de telefone, filiação, PIS, matrícula de aluno, estado civil, naturalidade, sexo, e-mail, além de login e senha do portal de serviços da SPTrans. As informações correspondem à base de dados do mês de abril de 2020.

Publicação feita pela SPTrans via Twitter.

A SPTrans informou através de um comunicado à imprensa que os cartões de Bilhete Único continuam ativos e funcionando normalmente e que os respectivos saldos foram preservados. De qualquer forma, a empresa orientou os usuários a trocarem suas senhas de acesso ao  portal de serviços do Bilhete Único, clicando em “Esqueceu sua senha” na página de cadastro do serviço. A empresa também destacou que o vazamento de dados pode ocasionar riscos como a abertura de contas em nome do usuário, o acesso a serviços onde a mesma senha é usada e a aplicação de golpes.

Após a confirmação do incidente, a SPTrans notificou o caso à Autoridade Nacional de Proteção de Dados (ANPD) e a Divisão de Crimes Cibernéticos (DCCIBER) do Departamento Estadual de Investigações Criminais (DEIC) da Polícia Civil do Estado de São Paulo a fim de apurar a autoria do crime. A empresa destacou em uma mensagem enviada por e-mail aos usuários que “vem reforçando, desde 2020, a segurança do banco de dados por meio de contratação de empresa especializada e está divulgando amplamente o ocorrido, bem como, tomando as providências legais contra a ação criminosa".