Hacker derruba a privacidade no PT, segundo comunicado
O Diretório Nacional do Partido dos Trabalhadores (PT) avisou os filiados que houve um incidente de segurança no Sistema de Filiados (Sisfil), com acesso não autorizado a dados pessoais, inclusive sensíveis, em comunicado publicado na sexta-feira (13).
Segundo o PT, o caso veio à tona em 10 de fevereiro último, após a circulação de um comunicado público atribuído a “terceiro não autorizado”, e envolveu credenciais legítimas (login e senha) obtidas indevidamente por agente externo. De posse dessas credenciais, o invasor explorou uma falha do tipo IDOR, um erro de autorização na aplicação que permite acessar registros sem a validação correta.
O partido diz que o Sisfil não estava exposto publicamente e atribui o acesso ao uso indevido de credenciais válidas somado à vulnerabilidade técnica.
Na análise preliminar, o PT afirma que os dados possivelmente acessados incluem nome completo, data de filiação e códigos internos, além de CPF, RG, título de eleitor com zona e seção, endereço, e-mail e telefones.
O comunicado também lista dados pessoais sensíveis, como filiação político-partidária, convicção religiosa, etnia autodeclarada, orientação sexual e eventuais informações sobre deficiência, e reconhece risco relevante de fraude de identidade e exposição indevida.
O volume potencial pode chegar a aproximadamente 537 mil registros, abrangendo, a princípio, filiados do Estado de São Paulo, segundo o próprio partido.
Segundo estatísticas do Tribunal Superior Eleitoral (TSE), no fim de 2025, o PT tinha “perto de 1,7 milhão” de inscritos nacionalmente.
Nas providências, o Diretório Nacional do PT afirma que revogou e substituiu credenciais, corrigiu integralmente a vulnerabilidade, revisou permissões, reforçou mecanismos de autenticação, preservou logs e abriu apuração técnica para verificar indícios de exfiltração, cópia ou uso indevido dos dados.
O partido informa que comunicará o incidente à Autoridade Nacional de Proteção de Dados (ANPD), citando o art. 48 da Lei Geral de Proteção de Dados (LGPD) e a Resolução CD/ANPD nº 15/2024.
Aos filiados, a orientação é desconfiar de contatos pedindo dados ou dinheiro, evitar links e anexos suspeitos, monitorar movimentações financeiras e considerar consulta ao Registrato do Banco Central para checar abertura indevida de contas ou crédito no próprio nome.
O canal indicado para atendimento é o e-mail [email protected], conforme o comunicado.
Continue acompanhando os bastidores da política e do poder pelo Blog do Esmael.
Jornalista e Advogado. Especialista em política nacional e bastidores do poder. Desde 2009 é autor do Blog do Esmael.
Publicação de: Blog do Esmael
