Vazamento em fornecedor de licenças de caça e pesca do Texas expõe dados de 3,09 milhões

O vazamento do Texas Parks and Wildlife não é um caso isolado de falha operacional, é um sintoma crônico da fragilidade nas cadeias de fornecimento de sistemas governamentais de identificação. Diferente de vazamentos em setores como saúde ou finanças, onde há exigências regulatórias claras (HIPAA, GLBA), plataformas de licenciamento de caça e pesca operam em uma zona cinzenta: coletam dados sensíveis por obrigação legal (carteira de motorista, passaporte), mas sem padrões mínimos de segurança contratualmente impostos ou auditados. A CEVIU já havia alertado, em fevereiro, que provedores SaaS de serviços públicos, especialmente os que atendem múltiplos estados, são alvos estratégicos por sua baixa maturidade de segurança e alta concentração de PII permanente.

Os dados expostos aqui têm perfil de alto impacto cibernético: não são senhas ou números de cartão, mas identificadores que persistem por décadas e alimentam fraudes de longa duração. Um número de carteira de motorista + endereço + telefone permite simular residência, validar contas bancárias e enganar centrais de atendimento, tudo sem precisar de CPF ou SSN. Isso explica por que o mesmo threat actor ('Wikkid') já replicou o padrão na Virgínia: ele não está explorando vulnerabilidades aleatórias, mas mapeando arquiteturas compartilhadas entre fornecedores como Aspira Connect e PayIt Outdoors.

Em abril, a CEVIU reportou o vazamento da Eurail com dados de passaporte e IBAN, mas lá o foco era infraestrutura exposta (S3, GitLab). Agora, o alvo mudou: é o processo de verificação de identidade em tempo real, que exige que o usuário insira documentos oficiais durante a compra. O que era rumor em maio (Brinztech citando 'Wikkid' vendendo dados do Texas antes da notificação oficial) virou realidade confirmada: o atacante obteve acesso meses antes de 13 de maio, provavelmente via credenciais fracas ou API mal protegida no fornecedor, não por ransomware ou exploração zero-day. A diferença crítica é que, desta vez, o dado exposto não é secundário: é o núcleo da identidade civil.

Esse incidente revela uma falha estrutural: estados estão delegando a gestão de identidade soberana a fornecedores não regulados. Enquanto hospitais assinam acordos de responsabilidade com cláusulas de segurança obrigatória, agências de vida selvagem assinam contratos de licenciamento com SLAs que não mencionam criptografia de dados em repouso ou testes de penetração trimestrais. O resultado? Um único ponto de falha capaz de comprometer milhões de cidadãos em dezenas de jurisdições, e sem mecanismo legal para exigir auditoria independente. Para empresas brasileiras que usam SaaS de governo (como emissão de certidões ou licenças ambientais), esse caso é um alerta prático: terceirização não isenta de responsabilidade. Se você armazena ou processa dados de identificação, você é o controlador, mesmo que o sistema esteja em nuvem de um fornecedor norte-americano.