Lei determina alerta sobre o ataque

No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece que empresas e órgãos públicos devem comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos cidadãos sempre que houver incidente de segurança capaz de gerar risco ou dano relevante.

Isso inclui ataques que possam expor informações pessoais ou comprometer sessões de usuários, como ocorreu no caso do Metrô-DF.

A ausência de comunicação oficial, portanto, não é apenas uma falha de transparência: pode configurar descumprimento legal.

Decisões recentes do Superior Tribunal de Justiça reforçam que organizações respondem objetivamente por vazamentos de dados, mesmo quando provocados por hackers.

O silêncio institucional diante de um ataque que envolveu técnica sofisticada de captura de sessões, como o clickfix, agrava a insegurança dos usuários e levanta questionamentos sobre a responsabilidade da companhia.

A invasão ao site do Metrô-DF expõe essa vulnerabilidade.