Falha em entidade controlada pelo governo de SP vaza fotos e CPF de 2 milhões de paulistas

Um arquivo contendo 2 milhões de fotografias faciais e números de CPF de cidadãos de São Paulo foi colocado à venda na quarta-feira (11). O material, conforme informações dos próprios cibercriminosos, foi sido extraído de uma aplicação interna da Prodesp (Companhia de Processamento de Dados do Estado de São Paulo), estatal controlada pelo governo de São Paulo. As informações são da Revista Fórum. 

O incidente ocorre no mesmo ambiente virtual onde, na última terça-feira (10), dados de filiados ao Partido dos Trabalhadores (PT) foram comercializados. 

A oferta foi publicada  pelo criminoso identificado como “0x0dayToDay” no BreachForums, comunidade conhecida pela receptação e venda de bases de dados ilegais. O pacote, particionado em dez arquivos que totalizam 200 gigabytes, contém imagens codificadas em Base64 — formato utilizado para armazenar fotos em bancos de dados governamentais e corporativos.

O anúncio foi ilustrado com uma montagem que utiliza uma foto do Palácio dos Bandeirantes, sede do governo paulista, ao fundo. A imagem traz a frase em inglês “a pessoa que a câmera vê nem sempre é quem parece ser”, o que foi interpretado como uma provocação direta aos sistemas de reconhecimento facial utilizados pela segurança pública e instituições bancárias.

A Prodesp é responsável por processar dados do Poupatempo, Detran e secretarias estaduais. O vazamento de fotos faciais atreladas aos CPFs permite a criação de “identidades sintéticas” e facilita fraudes financeiras.

Até o momento, o governador Tarcísio de Freitas (Republicanos) não comentou sobre o assunto.