menu
menu
Defensoria Pública do Estado do Tocantins
search
close
Busca
edit Editar esse Conteúdo

Relatório de Incidente de Segurança com Dados Pessoais - 1/2025

Publicado em 19/02/2025 21:02
Autor(a): Lucas Ferreira Cunha

Resumo do Incidente

A Defensoria Pública do Estado do Tocantins instaurou processo interno para apurar um possível vazamento de dados pessoais, conforme a LGPD e a Portaria Nº 835/2021. A denúncia apontou que um relatório contendo nome, CPF e lotação de servidores estava acessível publicamente no endereço eletrônico da instituição e encontrável por pesquisa no Google.

A Diretoria de Tecnologia da Informação (DTI) apurou que:

  1. O relatório foi elaborado pela Diretoria de Gestão de Pessoas e Folha de Pagamento (DIGEPEF) e publicado pelo setor de Comunicação.

  2. Ele foi emitido e disponibilizado publicamente em 01/09/2021, permanecendo acessível até 17/02/2025.

  3. Está acessível no Portal do Conhecimento e também pode ser encontrado via Google.

  4. Sua finalidade era a atualização cadastral interna, porém, foi exposto inadvertidamente ao público.

A DTI identificou que os links do Portal do Conhecimento estavam permitindo acesso público e já trabalha para implementar um sistema de autenticação para restringir acessos indevidos.


Riscos e Impactos

Abrangência da Exposição:

Quantidade de Titulares Afetados

229

Categoria dos Titulares

Servidores da Defensoria Pública do Estado do Tocantins

Natureza dos dados Afetados

  • Nome, CPF e lotação dos servidores

Envolve Titulares em situação de vulnerabilidade?

Não

Existe facilidade de acesso aos dados expostos no incidente?

Sim (relatório disponível publicamente no Portal do Conhecimento e encontrável via Google)

Existe facilidade de identificação dos titulares por terceiros não autorizados?

Sim (dados pessoais acessíveis sem restrição)

Existe potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade?

Sim (exposição de dados pessoais sensíveis como CPF pode gerar risco de fraude e uso indevido)

O incidente pode trazer consequências transfronteiriças?

Não

Quais as prováveis consequências do incidente de segurança para os titulares afetados?

O incidente traz impactos relevantes para os titulares afetados, especialmente em relação à privacidade e segurança dos dados expostos. A divulgação de nome, CPF e lotação pode facilitar fraudes, como a abertura indevida de contas bancárias, a contratação de serviços sem autorização e o uso dos dados para golpes financeiros. Além disso, o acesso público a essas informações permite tentativas de phishing e engenharia social, onde criminosos podem se passar por órgãos oficiais para obter mais dados sensíveis ou até mesmo enganar os servidores. 

Por outro lado, é necessário ponderar que a transparência na administração pública é um princípio constitucional e que determinados dados funcionais podem ser divulgados para garantir o controle social e a prestação de contas à sociedade. Informações sobre servidores públicos, como nome, cargo e lotação, são publicadas em portais de transparência, diário oficial, dentre outros, para garantir acesso público e fortalecer o acompanhamento das atividades institucionais. Entretanto, a exposição de dados como CPF pode ultrapassar esse limite da transparência, caracterizando um potencial desrespeito à proteção de dados pessoais. 

Medidas de Segurança Tomada

Diante da constatação do incidente, foram adotadas medidas imediatas para mitigar os riscos associados à exposição dos dados. A primeira providência foi a identificação da origem do problema, verificando que os links criados no Portal do Conhecimento estavam permitindo acesso público ao relatório que deveria ser de uso restrito. Para garantir a transparência e o cumprimento das exigências legais, o relatório preliminar foi publicado na área de incidentes de LGPD dentro do prazo estabelecido pela legislação e conforme orientação da Autoridade Nacional de Proteção de Dados (ANPD).

A solução técnica foi implementada pela Diretoria de Tecnologia da Informação (DTI) por meio da configuração de acesso restrito aos documentos internos, eliminando a possibilidade de exposição pública indevida. Agora, os documentos passam a possuir links autenticados com data de expiração, garantindo que apenas usuários autorizados possam acessá-los.

Especificamente, as medidas adotadas incluem:

  1. Configuração de autenticação para acesso aos documentos – O link anteriormente público foi desativado, e qualquer tentativa de acesso sem autenticação agora redireciona o usuário para uma tela de login no sistema MinIO.

  2. Geração de links temporários autenticados – Sempre que houver uma requisição de acesso pelo Site, CMS ou Portal do Conhecimento, o sistema gera um link temporário utilizando o protocolo AWS Signature Version 4, que garante acesso controlado e expira automaticamente após um período definido.

  3. Revisão das permissões de acesso – Foram reavaliadas as diretrizes internas de publicação e acesso a documentos, evitando que informações sensíveis fiquem disponíveis publicamente sem necessidade.

Conclusão

Diante da análise realizada, constatou-se que um relatório contendo dados pessoais de servidores da Defensoria Pública do Estado do Tocantins esteve acessível publicamente no Portal do Conhecimento e encontrável via mecanismos de busca. A exposição ocorreu devido à ausência de restrições de acesso adequadas, permitindo que qualquer usuário externo acessasse informações funcionais, incluindo nome, CPF e lotação dos servidores.

A Defensoria Pública, ao tomar conhecimento do incidente, adotou medidas imediatas para mitigar os riscos e garantir a conformidade com a Lei Geral de Proteção de Dados (LGPD). O relatório preliminar foi publicado na área de incidentes de LGPD, respeitando o prazo legal e em conformidade com a orientação da ANPD. Além disso, a Diretoria de Tecnologia da Informação (DTI) implementou soluções definitivas para restringir o acesso aos documentos internos, utilizando links autenticados com data de expiração, garantindo que arquivos internos não sejam mais acessíveis sem autenticação.

Com a implementação das soluções técnicas e administrativas necessárias, não foram identificados danos concretos aos titulares afetados que justifiquem, neste momento, a notificação à ANPD. No entanto, a situação seguirá sendo monitorada e, caso novos elementos surjam, essa decisão poderá ser reavaliada.

Diante das providências adotadas e da transparência no tratamento do incidente, considera-se que as medidas implementadas foram eficazes para corrigir a falha e prevenir novos casos semelhantes, garantindo o fortalecimento da segurança da informação na Defensoria Pública do Estado do Tocantins.

Meu dado foi exposto, o que fazer?

Se você acredita que seus dados foram expostos neste incidente ou sofreu algum prejuízo decorrente da divulgação indevida, entre em contato com a Diretoria de Tecnologia da Informação (DTI) ou com o Encarregado de Proteção de Dados Pessoais da Defensoria Pública do Estado do Tocantins para obter orientações sobre as medidas cabíveis. A Instituição está adotando providências para mitigar os impactos e reforçar a segurança das informações. Seu relato pode contribuir para uma resposta mais eficaz e para a adoção de novas medidas preventivas.

Tags:

lgpd_incidente
Ver mais notícias
keyboard_arrow_up