Uma falha de segurança expôs dados pessoais de mais de 28 mil candidatos do Programa de Ação Cultural do Estado de São Paulo (ProAC). A brecha no site do ProAC, descoberta pelo site Congresso em Foco e revelada nesta quinta-feira (24), permitia acessar informações como cópias de identidade de candidatos do programa de 2015 até 2018 — inscritos de 2019 não foram afetados pela falha. Segundo apuração do site, o problema foi detectado pela reportagem na última segunda-feira (21), mas até o momento de publicação da matéria os documentos pessoais dos candidatos ainda estavam disponíveis na Internet. Os endereços que divulgavam os dados só foram bloqueados após o anúncio do vazamento.

Em nota ao Congresso em Foco, a Secretaria da Cultura e Economia Criativa do Estado de São Paulo explicou que ocorreu um erro técnico durante a gestão anterior do órgão, e que o caso deve ser apurado. O ProAC é um programa de incentivo à cultura para a produção de projetos de pequeno porte. Interessados podem se inscrever em editais para requerer investimentos. O TechTudo entrou em contato com a Secretaria da Cultura, responsável pelo ProAC, que confirmou os vazamentos. O posicionamento na íntegra está no final do texto.

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

Segundo o Congresso em Foco, a falha expõe os documentos enviados por candidatos no momento de inscrição em editais do ProAC. A brecha de segurança consiste na atribuição de um número identificador para os dados (como propostas de projetos culturais e informações pessoais) salvos na plataforma. O código é sequencial e previsível, de forma que é possível gerar endereços para fazer o download de dados como comprovantes de residência, cópias de identidade e as propostas de projetos — os documentos requeridos no momento de inscrição em edital. Basta mudar a sequência para acessar as informações dos candidatos. Assim, qualquer pessoa poderia acessar esses dados no próprio site do ProAC.

Além disso, de acordo com apuração do Congresso em Foco, foram detectados mais de 56 mil links ativos no momento da descoberta da falha de segurança, na segunda-feira (21). A Secretaria Estadual de Cultura foi notificada quanto à vulnerabilidade no mesmo dia, mas retornou contato apenas após publicação da primeira reportagem do site jornalístico. O TechTudo também entrou em contato com o órgão e recebeu a mesma nota enviada ao Congresso em Foco. No texto, a Secretaria informa que vai apurar o caso de erro técnico, e que já bloqueou o acesso externo aos documentos no momento em que constatou a falha.

"A Secretaria de Cultura e Economia Criativa lamenta que um erro técnico cometido pela gestão anterior tenha exposto dados pessoais de proponentes inscritos em edições anteriores a 2019 do ProAC. Tão logo informada do fato, a Secretaria bloqueou imediatamente o acesso aos dados e adotou uma série de medidas para resguardar a privacidade dos participantes do programa. Não houve exposição de dados pessoais referentes ao ProAC 2019. A P

... asta notificou a empresa responsável pelo sistema e, por determinação do secretário, abriu procedimento preliminar para identificação de eventuais falhas no sistema. Além disso, abriu sindicância para apurar a responsabilidade pelo episódio."

Via Congresso em Foco (1 e 2) e Folha de S Paulo

Código de segurança do Instagram não chega no celular: o que fazer? Descubra no Fórum do TechTudo.



>>> Veja o artigo completo no TechTudo