O Partido dos Trabalhadores (PT) informou nesta sexta-feira (13) que identificou um incidente de segurança em seu Sistema de Filiados (Sisfil) que resultou em acesso não autorizado a dados pessoais de filiados, especialmente no Estado de São Paulo. Segundo o comunicado oficial, o caso foi reconhecido no último dia 10 de fevereiro e está sendo tratado conforme determina a Lei Geral de Proteção de Dados Pessoais (LGPD).
De acordo com o partido, o problema ocorreu após a obtenção indevida de credenciais legítimas de acesso ao sistema — login e senha — por um agente externo, que explorou uma vulnerabilidade técnica do tipo IDOR (Insecure Direct Object Reference). Essa falha permitiu que o invasor acessasse registros internos de filiados.
A análise preliminar aponta que podem ter sido expostos dados cadastrais e documentais, como nome, CPF, RG, título de eleitor, endereço, telefone e e-mail, além de informações sensíveis previstas na LGPD, incluindo filiação político-partidária, orientação sexual, convicções religiosas e etnia. O volume estimado do vazamento pode chegar a aproximadamente 537 mil registros.
O PT afirmou que, assim que o incidente foi identificado, promoveu uma série de ações emergenciais: revogou as credenciais comprometidas, corrigiu a vulnerabilidade, reforçou os mecanismos de autenticação e iniciou auditoria para verificar se houve cópia ou uso indevido dos dados. O partido também comunicará formalmente o caso à Autoridade Nacional de Proteção de Dados (ANPD), conforme exige a legislação, e informou que notificou as autoridades competentes para investigar a origem da invasão.
Em nota, o PT orientou seus filiados a manterem atenção redobrada a comunicações suspeitas por e-mail, telefone ou aplicativos de mensagem que solicitem dados pessoais, e a verificarem movimentações incomuns em cadastros e contas bancárias. O partido também recomendou o uso do serviço Registrato, do Banco Central, como forma de verificar possíveis fraudes.
O Diretório Nacional reiterou, ainda, o compromisso com a transparência e com a proteção das informações pessoais, destacando que a falha técnica foi corrigida e que não há indícios de exposição contínua dos dados.
