A Secretaria de Estado de Educação do Distrito Federal, em cumprimento ao estabelecido no art. 48 da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), vem a público informar que, em 23 de novembro de 2023, tomou ciência de um possível incidente de segurança envolvendo a venda, em um fórum cibercriminoso da Deep Web, dos seguintes dados educacionais de servidores e estudantes de unidades escolares da Rede Pública de Ensino do Distrito Federal: nomes, matrículas, e-mails e senhas de primeiro acesso remoto à plataforma “Escola em Casa”, utilizada à época da pandemia (2020).
Da investigação realizada por este Órgão, foi possível constatar que a brecha de segurança foi ocasionada devido a um padrão previsível na geração das senhas iniciais, o que possibilitaria ao infrator identificar a primeira senha gerada pela ferramenta e acessar as informações do usuário (servidor e estudante) se este ainda não tivesse alterado esta senha inicial. Do total de contas educacionais e institucionais existentes na plataforma “Escola em Casa”, apenas 15,79% (quinze vírgula setenta e nove por cento) dos e-mails dos possíveis usuários afetados ainda estavam ativos, ressaltando que, se for levado em conta que os usuários já haviam realizado o primeiro acesso e substituído a senha fornecida originalmente pela plataforma, esse percentual será reduzido.
Segundo se apurou até o momento, não há registros de que os dados pessoais desses usuários tenham sido efetivamente utilizados e a plataforma em questão está indisponível desde 16 de setembro de 2022, de modo que o criminoso somente poderia ter acessado esses dados entre 2020 e até 16 de setembro de 2022. Nesse sentido, é importante esclarecer que:
► a possível exposição de dados não significa, necessariamente, que todas as informações tenham vazado, mas que podem ter ficado visíveis para terceiros durante algum tempo e terem sido capturadas;
► esse incidente de segurança alcançou apenas contas educacionais e institucionais, não tendo sido afetadas contas pessoais dos usuários;
► não há registros de uso indevido dessas informações pessoais por terceiros, e
► não se tem conhecimento de outra ocorrência similar a esta após as
providências saneadoras adotadas pela Secretaria de Estado de Educação do Distrito Federal.
Tão logo identificada essa situação, esta Secretaria de Educação, na qualidade de Controladora desses dados pessoais e para possibilitar a investigação do caso, providenciou imediatamente a Comunicação de Ocorrência Policial na Delegacia Especial de Repressão aos Crimes
Cibernéticos e adotou medidas técnicas e administrativas internas de segurança para reforçar a proteção dos dados pessoais sob sua tutela.
Ainda, preocupada em garantir a segurança dos dados pessoais sob sua responsabilidade, a Secretaria de Educação tem realizado diversas ações para evitar que incidentes de segurança envolvendo dados pessoais ocorram no âmbito deste Órgão. Como exemplo, tem-se: a realização de palestras de sensibilização sobre o tema, a orientação na produção de documentos pelas diversas unidades administrativas, a instituição do Aviso de Privacidade e Proteção de Dados Pessoais, além dos ajustes de sistemas e ferramentas de tecnologia da informação e comunicação. Desse modo, verifica-se que a Secretaria de Educação não mede esforços no sentido de capacitar seus servidores e melhorar a implementação e estruturação da unidade responsável pela LGPD, que faz um trabalho diário e incessante na prevenção de incidentes de segurança envolvendo dados pessoais, apoiando-se na edição de notas técnicas, elaboração de documentos e realização de reuniões de alinhamento e conformidade com a LGPD (Lei nº 13.709, de 2018), para prestar auxílio a todas as ações que envolvem tratamento de dados pessoais. Por fim, ao reiterar o compromisso de implementar medidas preventivas e corretivas eficazes para evitar o vazamento de dados pessoais, foram disponibilizadas, na página da LGPD no sítio oficial desta Secretaria, informações sobre o tratamento de dados pessoais no Órgão.
Assim, em cumprimento ao disposto no art. 48 da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e como não é possível mensurar a quantidade de titulares afetados para expedir a comunicação de forma individual, esta Secretaria de Estado de Educação do DF torna público o possível incidente por meio deste instrumento, cuja divulgação se dará na página inicial e na página destinada à LGPD, localizadas no sítio oficial deste Órgão.
Isaias Aparecido da Silva
Secretário de Estado Substituto
