Diretório Nacional do PT comunica a filiados incidente de segurança

Incidente de segurança envolvendo dados pessoais de filiados

O Diretório Nacional do Partido dos Trabalhadores comunica aos seus filiados, em cumprimento ao disposto no art. 48 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e no art. 9º da Resolução CD/ANPD nº 15/2024, a ocorrência de um incidente de segurança que resultou em acesso não autorizado a dados pessoais tratados no Sistema de Filiados (Sisfil).

O que aconteceu. No dia 10 de fevereiro de 2026, o partido tomou conhecimento, por meio de comunicado público atribuído a terceiro não autorizado, de que credenciais legítimas de acesso ao Sisfil (login e senha) foram indevidamente obtidas por agente externo. A partir dessas credenciais, o agente explorou uma vulnerabilidade técnica existente em funcionalidade específica do sistema (do tipo IDOR – Insecure Direct Object Reference), o que possibilitou o acesso indevido a registros de filiados. O acesso não decorreu de exposição pública do sistema, mas do uso indevido de credenciais válidas combinado com a exploração de uma falha de validação de autorização em nível de aplicação.

Quais dados foram potencialmente afetados. Com base na análise preliminar, os dados possivelmente acessados incluem: (i) dados cadastrais e de identificação, como nome completo, data de filiação e códigos internos; (ii) dados documentais, como CPF, RG, título de eleitor, zona e seção eleitoral; (iii) dados de contato, como endereço, e-mail e telefones; (iv) dados de localização, como município, UF e endereço e (v) dados pessoais sensíveis, nos termos do art. 5º, II, da LGPD, incluindo filiação político-partidária, convicção religiosa, etnia autodeclarada, orientação sexual e eventuais informações sobre deficiência. O volume potencialmente envolvido pode alcançar até aproximadamente 537 mil registros, abrangendo, a princípio, filiados do Estado de São Paulo.

Quais os riscos. Considerando a quantidade e a natureza dos dados envolvidos, em especial a presença de dados sensíveis e dados de filiação político-partidária, o incidente pode representar risco relevante aos filiados, incluindo possibilidade de fraude de identidade, exposição indevida de dados sensíveis, e riscos à privacidade, à segurança pessoal e à autodeterminação informativa.

Medidas adotadas pelo partido. Imediatamente após a identificação do incidente, o partido adotou as seguintes providências: (i) revogação e substituição das credenciais potencialmente comprometidas; (ii) correção integral da vulnerabilidade técnica explorada, com implementação de controle e validação de autorização por usuário; (iii) revisão e restrição das permissões de acesso às funcionalidades sensíveis do sistema; (iv) implementação e reforço de mecanismos adicionais de segurança de autenticação; (v) preservação de registros de log para fins de auditoria e investigação; (vi) início de análise técnica aprofundada para verificar evidências de exfiltração, cópia ou uso indevido dos dados; e (vii) revisão dos procedimentos internos de segurança da informação e governança de acessos. No momento desta comunicação, a vulnerabilidade encontra-se devidamente corrigida, não havendo indícios de manutenção da exposição.

Providências em andamento. O incidente será comunicado à Autoridade Nacional de Proteção de Dados (ANPD), nos termos do art. 48 da LGPD e do art. 6º da Resolução CD/ANPD nº 15/2024. Foram também adotadas as providências cabíveis junto às autoridades competentes para apuração da responsabilidade dos envolvidos.

Recomendações aos filiados. Como medida de precaução, recomendamos que os filiados: (i) fiquem atentos a contatos suspeitos por telefone, e-mail, mensagem ou WhatsApp que solicitem dados pessoais, senhas ou informações financeiras em nome do partido ou de terceiros; (ii) não cliquem em links desconhecidos e não forneçam dados pessoais sem verificar a autenticidade do solicitante; (iii) monitorem eventuais movimentações atípicas em contas bancárias, cadastros junto a órgãos públicos e serviços de crédito; e (iv) considerem a consulta ao serviço Registrato do Banco Central (registrato.bcb.gov.br) para verificar se houve abertura indevida de contas ou solicitação de empréstimos em seu nome.

Data do conhecimento do incidente. O partido tomou conhecimento do incidente em 10 de fevereiro de 2026, por meio de comunicado público atribuído a terceiro não autorizado.

Canal de atendimento. Para esclarecimentos, dúvidas ou solicitações relacionadas a este incidente, os filiados podem entrar em contato pelo endereço eletrônico sorg@pt.org.br.

O Partido dos Trabalhadores lamenta o ocorrido e reafirma seu compromisso com a proteção dos dados pessoais de seus filiados, com a transparência e com a adoção contínua de medidas técnicas e administrativas voltadas à salvaguarda dos direitos fundamentais de liberdade, privacidade e segurança dos titulares.

Brasília, em 13 de fevereiro de 2026.

Diretório Nacional do Partido dos Trabalhadores