Incidente de segurança envolvendo dados pessoais noticiado em fevereiro de 2021
A Secretaria de Estado de Educação do Distrito Federal, em cumprimento ao estabelecido no artigo 48 da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), vem a público informar que, em fevereiro de 2021, foi noticiado incidente de segurança decorrente de vulnerabilidade do tipo “Referência Direta a Objeto” (Insecure Direct Object Reference – IDOR), observado no aplicativo i-Educar deste órgão, do qual constavam informações de servidores, estudantes e responsáveis legais destes daquela época.
Segundo se apurou em 2021, a brecha de segurança foi ocasionada devido à falha no código de programação e estava relacionada às “Uniforms Resources Locators” (URLs) do “Resultado do Regular”, do “CIL comunidade” e dos “Remanescentes”. Em virtude dessa situação, no momento da consulta do resultado, as URLs possibilitavam a edição da troca do código do candidato na descrição das próprias URLs e, com esse procedimento, eram expostos dados pessoais, tais como: nome completo, data de nascimento, número do Cadastro de Pessoas Físicas (CPF), nome completo da mãe, número da inscrição, sexo, endereço, grau de escolaridade e se é portador de alguma deficiência.
Tão logo identificada essa situação, a Secretaria de Educação providenciou imediatamente a retirada do ar dessa aplicação e foram realizadas ações para sanar as vulnerabilidades mencionadas. Anteriormente, a consulta era realizada somente pelo código do candidato, sendo que, após a ação corretiva deste órgão, foi adicionado um código hash no momento da consulta, impossibilitando o acesso dos dados pessoais de outros candidatos.
É importante esclarecer que:
■ a exposição de dados não significa necessariamente que todas as informações tenham vazado, mas que ficaram visíveis para terceiros durante algum tempo e podem ter sido capturadas;
■ este incidente de segurança alcançou apenas contas inativas do sistema i-Educar;
■ não há registros de uso indevido dessas informações pessoais por terceiros, mas somente a divulgação, na mídia especializada, de uma imagem de tela; e
■ que não se tem conhecimento de outra ocorrência similar a esta após as providências saneadoras adotadas pela Secretaria de Estado de Educação do Distrito Federal.
A demora na expedição deste comunicado deu-se pelo fato de que esta secretaria havia informado à Autoridade Nacional de Proteção de Dados (ANPD), por meio do Formulário de Incidente de Segurança (3486856), que não haveria viabilidade de contato com os titulares dos dados envolvidos por se tratar de usuários de contas inativas do sistema e, ainda, que não vislumbrava a possibilidade de comunicação individual acerca do incidente em questão, pois não seria possível precisar quais usuários foram afetados pelo incidente. Esta justificativa aguardava manifestação da ANPD que, em 18 de setembro de 2023, por intermédio da Nota Técnica nº 120/2023/CGF/ANPD, determinou a este órgão que, no prazo de dez dias úteis, expedisse a comunicação exigida pela Lei.
Assim, em cumprimento ao disposto no artigo 48 da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), à determinação da ANPD e, ainda, como não é possível mensurar a quantidade de titulares afetados à época para expedir a comunicação de forma individual, esta Secretaria de Estado de Educação do Distrito Federal torna público o incidente ocorrido por meio deste instrumento, cuja divulgação se dará na página inicial e na página destinada à LGPD, localizadas no sítio oficial deste Órgão.
Ainda, preocupada em garantir a segurança dos dados pessoais sob sua responsabilidade, a Secretaria de Educação tem realizado diversas ações para evitar que incidentes de segurança envolvendo dados pessoais ocorram no âmbito deste órgão. Como exemplo, tem-se: a realização de palestras de sensibilização sobre o tema, a orientação na produção de documentos pelas diversas unidades administrativas, a instituição do Aviso de Privacidade e Proteção de Dados Pessoais, os ajustes de sistemas e ferramentas de tecnologia da informação e comunicação.
Desse modo, verifica-se que a Secretaria de Educação não mediu esforços no sentido de capacitar seus servidores e melhorar a implementação e estruturação da unidade responsável pela LGPD, que faz um trabalho diário e incessante na prevenção de incidentes de segurança envolvendo dados pessoais, apoiando-se na edição de notas técnicas, elaboração de documentos e realização de reuniões de alinhamento e conformidade com a LGPD (Lei nº 13.709, de 2018), para prestar auxílio a todas as ações que envolvem tratamento de dados pessoais.
Por fim, ao reiterar o compromisso de implementar medidas preventivas e corretivas eficazes para evitar o vazamento de dados pessoais, foram disponibilizadas informações sobre o tratamento de dados pessoais no órgão, na página da LGPD, localizada no sítio oficial desta Secretaria de Estado de Educação do Distrito Federal.
HÉLVIA MIRIDAN PARANAGUÁ FRAGA
Secretária de Estado de Educação do Distrito Federal
