Base atribuída à Prodesp foi anunciada em plataforma internacional de venda de dados; estatal nega invasão
Um arquivo com cerca de dois milhões de fotografias faciais associadas a números de CPF de cidadãos do estado de São Paulo foi colocado à venda nesta quarta-feira (11) em um fórum internacional voltado à comercialização de bases de dados vazadas. O material, atribuído por criminosos a uma aplicação interna da Prodesp, estatal de tecnologia vinculada ao governo de Tarcísio de Freitas, teria sido extraído de sistemas que concentram informações sensíveis da população paulista.
<Siga o canal do Jornal Local no WhatsApp>
O anúncio foi publicado por um usuário identificado como “0x0dayToDay” na plataforma BreachForums, ambiente conhecido por negociações ilegais de dados. Segundo a descrição, o pacote está dividido em dez arquivos que somam aproximadamente 200 gigabytes e contém imagens codificadas em Base64, padrão frequentemente utilizado para armazenamento de fotos em bancos de dados institucionais. A publicação foi ilustrada com montagem do Palácio dos Bandeirantes e frase provocativa em inglês sobre reconhecimento facial.
Risco de fraudes e fragilidade estrutural
A Prodesp é responsável pelo processamento de dados de órgãos como Poupatempo, Detran e secretarias estaduais, sendo considerada o núcleo tecnológico da administração paulista. A eventual exposição de fotos biométricas vinculadas a CPFs amplia o risco de criação de identidades sintéticas e fraudes financeiras, especialmente porque aplicativos bancários e serviços digitais utilizam reconhecimento facial como mecanismo de autenticação.
O episódio ocorre menos de 24 horas após o mesmo fórum hospedar a oferta de dados de filiados ao Partido dos Trabalhadores, indicando possível exploração de vulnerabilidades em estruturas distintas, mas dentro do mesmo ambiente digital. Embora os alvos sejam diferentes — uma estrutura partidária e um sistema estatal — a sequência de anúncios levanta questionamentos sobre a capacidade de proteção de grandes bases de dados no país.
Especialistas em segurança da informação apontam que, mesmo quando não há invasão direta aos servidores centrais, dados podem ser obtidos por meio de credenciais comprometidas, integrações terceirizadas ou falhas humanas. A digitalização acelerada de serviços públicos e o uso ampliado de reconhecimento facial na segurança e em políticas de gestão tornam a proteção dessas bases ainda mais crítica.
ATUALIZAÇÃO — Nota oficial da Prodesp
Após questionamentos, a Prodesp encaminhou a seguinte manifestação:
“A Prodesp informa que não houve invasão ou qualquer acesso não autorizado a seus sistemas ou aplicações internas.
A Companhia adota protocolos robustos de segurança, monitoramento e auditoria, em conformidade com as melhores práticas de cibersegurança e com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), incluindo planos estruturados de resposta a incidentes.
A proteção das informações sob a responsabilidade da Companhia é permanente e sustentada por investimentos contínuos em tecnologia, segurança, aprimoramento de processos e capacitação técnica.”
Até o momento, não há confirmação oficial sobre a autenticidade do material ofertado no fórum nem informação sobre eventual investigação conduzida por órgãos de segurança ou pela Autoridade Nacional de Proteção de Dados.
