Dados de motoristas de São Paulo estão circulando em grupos de hackers. A denúncia partiu de um ciberativista anônimo que entrou em contato com o Olhar Digital. As informações teriam vazado do Detran-SP ou de outro órgão que tenha acesso à base de condutores no Estado.

Resumo:

Como tudo começou

Nós recebemos o contato de um ciberativista anônimo. Inicialmente, ele nos informou o vazamento. Depois de conversar com a nossa equipe, ele disponibilizou um documento imenso, com milhares — talvez milhões — de dados. Nós não conseguimos, contudo, fazer uma contagem do número de informações dispostas e de motoristas afetados. O que conseguimos dizer é: era muita coisa.

Acionamos a nossa equipe de informática e tecnologia para nos auxiliar com a checagem e com a segurança dos dados. Tudo o que o ciberativista nos enviou estava em arquivos seguros. Além disso, fizemos planilhas para organizar parte do que estava disponibilizado sobre condutores e veículos: nome completo, endereço, CPF, CEP, cidade, Renavam, placa, chassi e ano de fabricação, por exemplo. Partimos, então, para a conferência dos dados — dentro do que é possível.

Pelo site da Secretaria da Fazenda, é possível fazer uma consulta de débito por veículo apresentando Renavam e placa, como vemos abaixo:

Nós preenchemos os dados apresentados de dezenas de motoristas e todos batiam. Como você pode ver abaixo, o portal da Fazenda estadual não apresenta os nomes dos condutores. Mas, todas as informações sobre os veículos estavam corretas. Ou seja, mesmo a nossa checagem sendo parcial, conseguimos provar um grau de veracidade importante naquilo que foi passado. Tanto é que uma investigação será aberta.

Por que esses dados estão circulando?

Segundo o ciberativista que nos passou a denúncia, os hackers tiraram os anos entre 2015 e 2022 dos documentos vazados. O que ele teve acesso foi uma “amostra grátis”. Para ver os dados completos de anos mais recentes, é preciso pagar US$ 30 mil — mais de R$ 150 mil. A base que vimos serve para provar que os atacantes têm as informações e, assim, monetizar o que há de mais novo. E, de fato, todos os veículos listados eram de 2015 ou mais antigos.

E agora?

Para entender os próximos passos em um possível vazamento de dados como esse, pedimos ajuda ao advogado e colunista do Olhar Digital Leandro Alvarenga. Segundo ele, em caso de potenciais danos aos envolvidos, o órgão público deve notificar a Autoridade Nacional de Proteção de Dados (ANPD) e, depois, os titulares. Recomenda-se um prazo de 48 horas, mas não há nada definido por lei.

Devem ser tomadas providências para mitigar os danos aos titulares. O prazo de 48 horas começa a correr a partir da ciência do incidente. Vale lembrar que os dados do Detran-SP podem ter sido vazados de outros locais, como do Denatran ou até de outro Detran que tenha acesso a essas informações. É muito complicado apontar se é um vazamento ou não.

O que diz o Detran-SP

Como adiantamos, o Detran-SP informou que não houve violação do banco de dados do Departamento de Trânsito e que, de toda forma, pediu uma investigação ao Deic. Embora o Olhar Digital não tenha conseguido comprovar que o vazamento é de dados atualizados, mostramos que o material que circula tem informações corretas sobre milhares de veículos. Afinal, não é comum sair por aí divulgando o seu Renavam e o chassi do seu veículo, por exemplo.

Confira a nota completa do Detran-SP:

A Prodesp, empresa de tecnologia do Governo do Estado de São Paulo responsável pelo armazenamento e processamento de dados do Detran-SP, informa que “não houve violação do banco de dados do Departamento de Trânsito no sistema da companhia, que adota rígidos controles de acessos e conta com monitoramento 24 horas em tempo real pelas equipes de TI — Tecnologia da Informação”.

Mesmo assim, diante das informações apresentadas pela reportagem, a área de Auditoria do Detran-SP já solicitou o apoio da Divisão de Crimes Cibernéticos (DCCIBER), subordinada ao Deic (Departamento Estadual de Investigações Criminais), para investigar a origem e a eventual procedência relativa a acesso irregular para obtenção de informações na base de dados do Departamento de Trânsito Paulista.

Detran-SP

O Olhar Digital também enviou uma solicitação de posicionamento à Autoridade Nacional de Proteção de Dados e aguarda um retorno.