O promotor Frederico Meinberg Ceroy, que coordena a Unidade Especial de Proteção de Dados e Inteligência Artificial do Ministério Público do Distrito Federal, abriu inquérito para apurar o vazamento de dados pessoais de 180 milhões de brasileiros na Fiesp. A entidade deixou três bancos de dados expostos (sem criptografia) na internet por vários dias. Em apenas um deles, haviam informações de 34,8 milhões de pessoas.
Em nota, a Federação das Indústrias de São Paulo afirma que “está apurando eventual acesso à sua base de dados cadastrais, no dia 12 de novembro, por uma empresa que alega ser de segurança digital”. A descoberta da falha veio do pesquisador de segurança Bob Diachenko, mas segundo informou o site da Tecnoblog, a Fiesp demorou em responder a denúncia.
No dia 14, Diachenko conversou pelo Twitter com Paulo Brito, jornalista e editor do site CiberSecurity, que então falou com a assessoria de imprensa. No dia seguinte, o banco de dados continuava exposto. Brito ligou novamente para a assessoria e o problema foi enfim resolvido. A investigação do Ministério Público começou ontem (22), dez dias após o episódio ser relatado.
De acordo com a assessoria do MPDF, serão apuradas as circunstâncias do suposto incidente de segurança e as responsabilidades pelos danos eventualmente causados. Foram expostas informações como nome, RG, CPF, sexo, data de nascimento, endereço, e-mail e telefone. As bases de dados eram chamadas de “FIESP”, “celulares” e “externo” — que podiam ser acessadas por qualquer pessoa através do motor de busca Elasticsearch. No total, elas contêm 180 milhões de registros pessoais.
