CEVIU Logo
Voltar
Agência Governamental de Porto Rico Expõe 1 Milhão de Números de Segurança Social

Vazamento de Dados em Porto Rico Expõe 1 Milhão de SSNs

Aprofundamento CEVIU

Aprofundamento

O vazamento de dados no Centro de Recolha de Receitas Municipais (CRIM) em Porto Rico não é só um acidente, mas um alerta sério para a segurança de dados públicos. A exposição de 1 milhão de Números de Segurança Social (SSNs) através de um mapa interativo, acessível via requisições web por usuários com conhecimento técnico, mostra uma falha fundamental no controle de acesso e na validação de dados sensíveis. A agência mantinha informações cruciais desprotegidas na fonte, permitindo que qualquer um com as ferramentas certas "raspasse" esses dados sem autenticação.

Este incidente se junta a um histórico preocupante de cibersegurança em Porto Rico, com vários ataques e exposições nos últimos anos. Em 2023, dados de clientes de uma empresa de água foram parar na dark web. Já em 2025, o Departamento de Justiça teve um acesso não autorizado à sua base. Mesmo com a Lei 40 de 2024, que exige padrões mínimos de segurança e avaliações de risco anuais para agências governamentais, a implementação está longe do ideal. Especialistas apontam para uma postura reativa, em vez de proativa, o que deixa portas abertas para ataques como este do CRIM, onde uma falha básica de configuração expõe milhões de registros. A negação inicial da agência sobre o problema, mesmo após a correção, agrava a situação e erode a confiança pública.

Por que isso importa

Incidentes como o de Porto Rico são um lembrete forte da responsabilidade dos governos em proteger as informações de seus cidadãos. A exposição de SSNs é um prato cheio para fraudes de identidade, empréstimos fraudulentos e outros crimes. Para empresas, isso ressalta a importância da gestão de vulnerabilidades e da conformidade com regulamentações de proteção de dados, mesmo em órgãos públicos que fornecem dados a terceiros. A falta de transparência, como a negação inicial do CRIM e a falha em notificar o PRITS (órgão de TI do governo), mina a credibilidade e dificulta a resposta eficaz a crises. É um exemplo claro de como a negligência na segurança pode ter impactos sociais e econômicos duradouros.

Linha do tempo

  1. Vazamento na Universidade Columbia expõe 1,8 milhão de SSNs, incluindo dados de quem nunca teve vínculo com a instituição.

  2. 14 falhas em portais do governo indiano expõem dados de estudantes e contas bancárias.

  3. Vazamento de Dados em Porto Rico Expõe 1 Milhão de SSNs.

Perguntas frequentes

O que é um Número de Segurança Social (SSN) e por que sua exposição é grave?

O SSN é um identificador único, similar ao CPF no Brasil. A exposição de SSNs é grave porque permite a prática de fraudes de identidade, abertura de contas falsas, solicitação de empréstimos e outros crimes financeiros em nome da vítima. Ele é uma chave para dados pessoais ainda mais sensíveis.

Qual foi a falha técnica que permitiu o vazamento no CRIM?

A falha ocorreu em um mapa interativo de propriedades que, embora mostrasse dados públicos, permitia que usuários com conhecimento técnico acessassem informações sensíveis, como SSNs, diretamente da fonte dos dados via requisições web. Não havia autenticação ou proteção para esses dados no backend.

A Lei 40 de 2024 não deveria ter prevenido este incidente em Porto Rico?

A Lei 40 foi criada para estabelecer padrões mínimos de cibersegurança e exigir avaliações de risco anuais em agências governamentais de Porto Rico. Contudo, especialistas indicam que a lei não foi totalmente implementada e que muitas agências ainda falham em adotar uma postura proativa de segurança, o que contribui para a recorrência de incidentes.

Este tipo de vulnerabilidade é comum em portais governamentais?

Sim, infelizmente. Falhas como controles de acesso frágeis, diretórios abertos ou dados sensíveis expostos em APIs e requisições web são recorrentes em sistemas legados ou mal configurados de órgãos públicos. Notícias anteriores do CEVIU, como as falhas em portais do governo indiano em julho de 2026, mostram que isso não é um problema isolado de Porto Rico.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
10 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser