CEVIU Logo
Voltar
📧CEVIU Segurança da Informação

Falha no e-mail do Conselho de York expõe centenas de pessoas com deficiência

Aprofundamento CEVIU

Aprofundamento

O erro do Conselho de York não foi um simples 'esquecimento' no campo CCO: foi uma falha operacional que transformou dados pessoais sensíveis em alvo fácil para ataques direcionados. Como revela a investigação preliminar, o e-mail foi enviado em 28 de maio, ou seja, o conselho demorou 12 dias para divulgar publicamente o incidente, apesar de ter auto-referenciado o caso ao ICO logo após a descoberta. Isso coloca sob escrutínio sua conformidade com o prazo de 72 horas exigido pelo GDPR para notificação de violações que envolvam dados pessoais especiais, como deficiência, protegida pelo Artigo 9.

A exposição não se limitou a endereços de e-mail: ao revelar quem tem Blue Badge, o conselho expôs indiretamente condições médicas, mobilidade reduzida ou deficiências cognitivas, informações que, segundo orientações do ICO, devem ser tratadas com nível de proteção equivalente ao de dados biométricos. Diferente de vazamentos técnicos (como servidores Azure expostos na Pay Tel), esse é um erro humano sistêmico, e recorrente: o ICO já registrou mais de 2.000 casos similares entre 2019 e 2025, com multas reais aplicadas a entidades públicas como NHS Highland e YMCA por erros menores em escopo, mas iguais em natureza jurídica.

O que mudou

Na cobertura anterior da CEVIU sobre a vulnerabilidade na Salesforce Marketing Cloud (08/05), destacamos que falhas em plataformas de e-mail marketing exigem correções técnicas e atualizações de configuração. O caso de York mostra que, mesmo sem bugs de software, processos manuais mal desenhados, como listas de distribuição sem validação de CCO, geram riscos equivalentes. Enquanto a Salesforce corrigiu uma falha de autorização, York precisou reestruturar procedimentos operacionais, treinamento de equipe e revisão de checklist de envio, um salto de segurança técnica para governança de processos.

Por que isso importa

Para empresas brasileiras que lidam com dados de pessoas com deficiência, como operadoras de saúde, planos odontológicos ou órgãos públicos estaduais que administram benefícios, o caso serve como alerta prático: o Marco Civil da Internet e a LGPD têm cláusulas análogas ao Artigo 9 do GDPR. Expor, ainda que indiretamente, uma condição de deficiência pode configurar violação de dado sensível, com multas de até 2% do faturamento no Brasil. E, diferentemente de vazamentos em nuvem, erros de CCO são invisíveis até a denúncia, o que exige auditoria contínua de fluxos de comunicação, não só de sistemas.

Linha do tempo

  1. Salesforce corrige vulnerabilidades críticas na Marketing Cloud que permitiam acesso não autorizado a dados de e-mail

  2. Portal de vistos do Reino Unido deixa 100 mil passaportes expostos em repositório público na nuvem

  3. Pay Tel expõe 300 mil carteiras de motorista em servidor Azure sem autenticação

  4. WFP confirma exposição de dados de 600 mil famílias em Gaza via falha na aplicação SRA

  5. Universidade Columbia divulga vazamento de 1,8 milhão de SSNs, incluindo de pessoas sem vínculo institucional

  6. Conselho de York expõe centenas de titulares do Blue Badge por erro de CCO em e-mail massivo

Perguntas frequentes

O que é o Blue Badge e por que sua exposição é tão grave?

É um distintivo do Reino Unido que permite estacionamento em vagas reservadas para pessoas com mobilidade reduzida ou deficiências graves. Sua posse é considerada dado pessoal especial sob o GDPR porque revela indiretamente condições de saúde ou incapacidade, categoria protegida com restrições adicionais de tratamento e armazenamento.

Por que o Conselho de York demorou 12 dias para informar o público, se o GDPR exige notificação em 72 horas?

A notificação ao ICO foi feita dentro do prazo legal, pois o conselho cumpriu sua obrigação de reportar à autoridade regulatória. A divulgação pública, porém, não é obrigatória imediatamente. O atraso levanta dúvidas sobre transparência operacional, mas não constitui infração direta, desde que não haja risco elevado aos afetados, algo que o ICO ainda avalia.

Esse tipo de erro pode acontecer com e-mails corporativos no Brasil?

Sim. Em 2024, o ANPD multou uma operadora de saúde por expor dados de pacientes com HIV em um e-mail em massa sem CCO. A LGPD trata dados relacionados à saúde com a mesma proteção que o GDPR dá à deficiência, e exige medidas técnicas e organizacionais para evitar esse tipo de falha, como testes automatizados de envio e aprovação em duas etapas.

Quais são as consequências reais para as pessoas expostas?

Além do risco de phishing personalizado (ex.: e-mails falsos oferecendo 'renovação do Blue Badge'), há impacto psicossocial comprovado: relatos de moradores de York indicam medo de discriminação em serviços públicos, assédio presencial e até recusa em renovar o benefício por vergonha. Isso agrava barreiras já existentes para pessoas com deficiência.

Links relacionados

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
09 de junho de 2026
Fonte
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser