Photo by Stockcake

Prodesp desmente alegação de vazamento de dados

A estatal Prodesp, Empresa de Tecnologia do Estado de São Paulo, negou, em comunicado enviado ao CISO Advisor, que dados oriundos de uma de suas aplicações tenham sido vazados ou roubados. Durante esta semana, veículos de mídia publicaram reportagens afirmando que teria ocorrido um vazamento: “Um arquivo contendo 2 milhões de fotografias faciais e números de CPF de cidadãos de São Paulo foi colocado à venda nesta quarta-feira (11). O material, segundo os criminosos, foi extraído de uma aplicação interna da Prodesp (Companhia de Processamento de Dados do Estado de São Paulo), estatal controlada pelo Palácio dos Bandeirantes” .

Em mensagem ao CISO Advisor, a assessoria de imprensa da Prodesp informou: “A informação não procede. Não houve invasão, vazamento de dados ou qualquer comprometimento das bases operacionais da Prodesp. Os dados mencionados não correspondem nem possuem qualquer relação com os bancos de informações administrados pela empresa.”

As publicações na mídia se basearam num post feito na quarta-feira, diz 11, pelo usuário “0x0dayToDay” num fórum na dark web frequentado por cibercriminosos. Intitulado “[ BRAZIL FACIAL – SÃO PAULO – 2M DATA ] “, o post se iniciava com uma mensagem disponibilizando nove arquivos de 21GB e um de 20GB, todos comprimidos em padrão 7z. Segundo o cibercriminoso, os arquivos conteriam CPFs e imagens faciais codificadas em Base64 de aproximadamente 2 milhões de pessoas do Estado de São Paulo.

Com grande frequência, usuários de fóruns do cibercrime buscam vender dados para ganhar dinheiro. Os dados podem ter as mais variadas origens e são agregados em tabelas, mas para ganharem valor são sempre atribuídos a algum grande órgão federal ou estadual, quando não a uma grande empresa. Raramente são anunciados dados pertencentes a uma prefeitura do interior de um estado ou de uma empresa de pouca relevância econômica.