BRASILIANAS | Ataque hacker derruba site do Metrô, que não comunica fato como determina a LGPD

Silêncio no subterrâneo digital: site fora do ar desde 22 de janeiro e a empresa não comunicou oficialmente o ataque, como determina a Lei Geral de Proteção de Dados

Usuários foram redirecionados para páginas falsas

Malware usou técnica de clickfix para capturar dados e sessões de computadores pessoais

EXCLUSIVO - No dia 22 de janeiro, há 19 dias, o site oficial do Metrô-DF foi alvo de um ataque hacker sofisticado e que permanece sem divulgação oficial pela companhia, até o momento. Usuários que tentaram acessar a página foram redirecionados para uma falsa tela de segurança, simulando serviços da Cloudflare, onde eram induzidos a clicar em um botão de "copy" que gerava códigos maliciosos.

A técnica utilizada, conhecida como clickfix, é capaz de capturar sessões ativas do computador e acessar dados pessoais dos usuários. O ataque foi configurado para aparecer apenas em navegadores de desktop (computadores de mesa), o que dificultou sua identificação inicial.

Apesar da gravidade, o Metrô-DF não comunicou publicamente o ocorrido. Decidiu "apenas" tirar o site do ar e preparar uma nova versão, mais simples, sem acesso a conteúdos. Quem busca informações, encontra somente uma página estática, ilustrativa, com os principais serviços públicos, como horários de funcionamento e rotas.

E apenas ontem, ao ser questionada por "Brasilianas", foi que a Assessoria de Imprensa limitou-se a informar que o site estava sendo restabelecido gradualmente, com apoio da equipe de tecnologia, e que a versão atual é simplificada até que a página completa volte ao ar.

O silêncio institucional contrasta com a urgência do problema. Em tempos de ataques cada vez mais sofisticados, a transparência e o investimento em segurança digital deixam de ser opção — tornam-se obrigação.

Lei de Proteção de Dados determina divulgação

A invasão ao site do Metrô-DF expõe a vulnerabilidade de serviços essenciais diante da crescente onda de crimes digitais.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece que empresas e órgãos públicos devem comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos cidadãos sempre que houver incidente de segurança capaz de gerar risco ou dano relevante. Isso inclui ataques que possam expor informações pessoais ou comprometer sessões de usuários, como ocorreu no caso do Metrô-DF.

A ausência de comunicação oficial, portanto, não é apenas uma falha de transparência: pode configurar descumprimento legal. Decisões recentes do Superior Tribunal de Justiça reforçam que organizações respondem objetivamente por vazamentos de dados, mesmo quando provocados por hackers.

O silêncio institucional diante de um ataque que envolveu técnica sofisticada de captura de sessões, como o clickfix, agrava a insegurança dos usuários e levanta questionamentos sobre a responsabilidade da companhia.

O episódio se soma a uma série de ataques recentes contra serviços públicos e sistemas sensíveis no país. Em 2025, por exemplo, o sistema financeiro nacional sofreu o maior ataque hacker já registrado, com prejuízo de mais de R$ 800 milhões . Mais recentemente, o Conselho Nacional de Justiça (CNJ) também foi alvo de invasores que inseriram dados falsos em seus sistemas.