Ironicamente, a invasão ocorreu pouco dias após o Ministério Público Federal lançar com pompa a sua Política de Privacidade e Proteção de Dados Pessoais, em 16/8. O documento estabelece as diretrizes para divulgação de dados pessoais na Instituição, define quem são os agentes de tratamento, as regras para contratos que envolvem tratamento de dados e as obrigações para os colaboradores, além de prever planos permanentes de comunicação e capacitação.

Por Chico Sant’Anna

Hackers atacaram o sistema de informática da Procuradoria Geral da República, órgão comandado por Augusto Aras. Segundo um informe da Unidade de Proteção de Dados Pessoais do Ministério Público Federal (UPDP-MPF), a invasão ocorreu no período de 5 a 13 de setembro do ano passado, atingindo os dados pessoais coletados pelo sistema de protocolo, utilizado por pessoas jurídicas para o envio de correspondências ao Ministério Público Federal. A informação vem a público quatro meses depois do ocorrido. Não foi esclarecido quando a invasão foi descoberta.

Empresas que se valeram do sistema de protocolo estão sendo alertadas pela UPDP-MPF, “em atenção ao compromisso com a transparência e em cumprimento da Política de Privacidade e Proteção de Dados Pessoais. Elas teriam sido o alvo preferencial dos hackers.

Segundo o informe, “as informações pessoais constantes do banco de dados do referido sistema que podem ter sido acessadas são apenas o nome do usuário, telefone, e-mail e IP” – e complementa: “não há indícios de que os dados tenham ou estejam sendo utilizados para fins inadequados ou ilegais. De todo modo, para prevenção de eventuais riscos que o incidente possa lhe acarretar, recomenda-se atenção redobrada para chamadas telefônicas recebidas de números desconhecidos e e-mails maliciosos (phishing)”.

Ironicamente, a invasão teria ocorrido pouco dias após o Ministério Público Federal lançar com pompa a sua Política de Privacidade e Proteção de Dados Pessoais, em 16/8. O documento estabelece as diretrizes para divulgação de dados pessoais na Instituição, define quem são os agentes de tratamento, as regras para contratos que envolvem tratamento de dados e as obrigações para os colaboradores, além de prever planos permanentes de comunicação e capacitação.

A Procuradoria Geral da República procurada por esse colunista, dia 22, confirmou o ocorrido, mas, até às 19 horas, do dia 23, não havia respondido às seguintes questões demandadas:

  1. Qual a quantidade de pessoas físicas ou jurídicas foram afetadas por essa invasão no sistema da PGR,
  2. Houve coleta de dados focalizada? Seja em termos de região geográfica, perfil do titular dos dados, gênero, tema tratado na petição, etc.?
  3. Já foi identificada a origem dos hackers?
  4. O sistema chegou a ficar inoperante por algum tempo? Quanto?
  5. Demandas protocoladas por esse sistema podem ter sido afetadas? Quem as fez deve refazê-las?
  6. Que avanços já ocorreram nas investigações sobre essa invasão e responsabilização de seus autores? O assunto foi levado à Polícia Federal?

Até o momento não houve respostas pontuais, apenas que o “incidente” foi comunicado à Autoridade Nacional de Proteção de Dados – ANPD e que já foram adotadas as medidas de segurança necessárias a fim de cessar o possível acesso indevido e prevenir novos incidentes e que os serviços e sistemas do MPF não foram prejudicados e continuam totalmente operacionais.

_______________________________________________________________

Após a publicação dessa matéria, a PGR enviou a seguinte mensagem:

Em reposta aos questionamentos, a Secretaria de Comunicação Social informa que foi identificado um acesso indevido ao banco de dados cadastrais de um dos sistemas do MPF utilizado para protocolo de manifestações por pessoas jurídicas. Nesse banco, constam alguns poucos dados pessoais das pessoas físicas que fazem o cadastro. Não foi identificada nenhuma coleta de dados mais focalizada ou direcionada. O acesso indevido atingiu o banco de dados de forma geral.

O MPF está trabalhando no tema, conduz investigações e análises para tentar identificar os agentes responsáveis pela invasão. A apuração está em curso. O incidente não afetou a operação do sistema, e não há indícios de perda de dados em decorrência da invasão.