Uma empresa indiana de ciber inteligência, ShadowMapTech, descobriu recentemente uma violação de dados no Parlamento Europeu que fere a GDPR. O fundador da empresa fez a revelação de sua plataforma em sua conta no Twitter.

"A plataforma identificou um vazamento maciço de dados no Parlamento Europeu. Isso inclui dados e senhas de mais de 200 membros do Parlamento Europeu, Conselho Europeu e Comissão Europeia. Também afeta mais de 1000 funcionários do Parlamento Europeu." 

A violação de dados inclui, além dos dados citados por Yash em seu Twitter, dados de jornalistas e políticos. Membros de diversas instituições da União Européia também estão inclusos, como Europol, Autoridade Europeia para Proteção de Dados, EUIPO e Frontex. O número total de usuários comprometidos pode chegar a mais de 15000.

Entre as diversas informações vazadas aparecem IDs de usuário, nomes, senhas criptografadas e endereços de e-mail. Porém, a posição de Marcel Kolaja, vice-presidente de política de TI no Parlamento Europeu, foi de negação absoluta quanto ao incidente. Em sua conta do Twitter, o vice-presidente responde ao fundador da empresa indiana.

"O vazamento não está relacionado a um sistema executado por nenhuma instituição da UE e não contém dados da instituição da UE. Os responsáveis pelo sistema foram contatados imediatamente. Parabéns à DG ITEC por uma resposta rápida!"

Sua posição leva a entender que, apesar de o banco de dados ser de um subdomínio "europarl.eu", que é o site oficial do Parlamento, ele não era hospedado pelo Parlamento Europeu. 

"O sistema em questão é um sistema administrado por um grupo político em particular e eram dados por esse grupo político e eles foram imediatamente informados desse incidente." Informou Marcel Kolaja ao Politico.

Apesar de Kolaja negar-se em nomear o partido político em questão, o portal Politico acredita que os dados podem ser do Partido Popular Europeu (PPE). Pedro López de Pablo, porta-voz do grupo do PPE, haveria confirmado em e-mail a respeito da exposição de um banco de dados contendo endereços de e-mail e senhas. O porta-voz teria informado que os dados são de 2018, contidos em seu site antigo e que, portanto, não representaria mais uma ameaça.

"Mesmo que as pessoas que se inscreveram em nosso site em 2018 usassem a mesma senha que tinham em seus e-mails naquele momento, nada pode acontecer com elas agora, porque no Parlamento o sistema obriga a alterar completamente sua senha a cada três meses." Pedro López de Pablo.

Pedro ainda informou que o PPE estaria verificando a lista de pessoas que tiveram seus dados expostos para que pudessem informá-las quanto a violação, como ditam as regras da GDPR. 

Detalhes técnicos e precedente.

Yash Kadakia explicou que o subdomínio "estava hospedando Drupal e scripts de backup (com configurações expostas), mas os backups reais foram hospedados por terceiros". E quanto à reação do Parlamento Europeu, em negar qualquer propriedade dos dados, o que abriria precedente para outras empresas, Yash esclareceu.

"O GDPR realmente regula as informações com base no conceito de criador de dados. Portanto, não importaria se um subcontratado liderasse a violação, desde que o usuário fornecesse dados para você."

Essa violação levanta questão a respeito das grandes instituições evitarem os próprios regulamentos através de desculpas como as apresentadas por Marcel Kolaja. Sua resposta no Twitter pode fazer parecer que as violações, sujeitas ao Regulamento Geral de Proteção de Dados (GDPR), não são aplicáveis aos próprios parlamentares, diferente das empresas que vem reconhecendo o poder das autoridades reguladoras e suas pesadas multas.