Até então, a investigação e a SPTrans indicava que havia ocorrido um ataque hacker.
Policiais da divisão de crimes cibernéticos fizeram nesta terça-feira (31) busca em dois endereços para procurar provas. O nome da empresa é mantido em sigilo.
A polícia vasculhou a casa de um dos diretores dessa empresa até encontrar um computador e um telefone celular. Eles podem indicar como o cadastro de 13 milhões de usuários do bilhete único foram parar na darkweb (a parte da internet que não pode ser encontrada por buscadores como o Google).
Em novembro do ano passado, a SPTrans procurou a polícia para denunciar uma suposta invasão do sistema. A informação era de que o banco de dados da empresa teria sido invadido por hackers.
Informações pessoais de cada passageiro foram expostas, como o nome, data de nascimento, endereço, CPF, RG, telefone, e-mail, login e senhas pessoais. Na época, a SPTrans informou que os créditos do bilhete único foram preservados.
Em três meses, a investigação descobriu que não houve invasão, mas vazamento proposital de todo o cadastro atualizado até abril de 2020.
A fraude começou depois que a empresa, que tinha contratos emergenciais de mais de R$ 10 milhões com a SPTrans, disputou uma concorrência pública para continuar a gerir os dados da companhia que cuida do sistema de ônibus da capital e perdeu, pois apresentou o preço mais caro.
“O que se investiga aqui é se essa conduta delituosa de um diretor da empresa também era praticada por outros diretores e pela empresa como um todo como uma tecnologia de negociação ou como uma prática ilegal de mercado. No meio comercial você não tem vingança como objetivo da empresa, você tem o lucro”, disse o delegado Carlos Afonso Gonçalves da Silva.
“É a técnica do 'oceano azul', por assim dizer. Você consegue enxergar uma necessidade onde ninguém mais havia chegado e dentro dessa necessidade criada a que deve prevalecer é a necessidade do estado, e não da empresa”, completou o delegado.
No dia do vazamento das informações, um dos diretores da SPTrans recebeu uma mensagem de celular de um funcionário da empresa que teve o contrato encerrado.
Ele informava que havia alto risco de o sistema da SPTrans ser invadido. Minutos depois, o cadastro do bilhete único apareceu na internet. Essa coincidência chamou a atenção da polícia.
A polícia identificou o computador usado para vazar o cadastro do bilhete único. Cada computador, celular ou tablet têm uma identidade eletrônica chamada de IP.
Segundo a polícia, o computador de onde partiram as informações era de uso exclusivo do executivo da empresa. Ele foi levado até a delegacia, mas se recusou a falar sobre o caso.
O que dizem as partes
A SPTrans diz, em nota, que repudia o ato criminoso praticado e que, junto com a população, foi vítima do incidente.Segundo a prefeitura, os passageiros não precisam se dirigir a nenhum posto de atendimento da SPTrans. Os cartões de bilhete único dessas 13 milhões de pessoas permanecem ativos e os saldos estão preservados.
A SPTrans informa que vai reforçar as medidas de segurança para proteção dos dados pessoais dos usuários do bilhete único, inclusive contratando empresas de segurança cibernética.
Fonte:G1 São Paulo
Linkda Matéria