O Departamento de Parques e Vida Selvagem do Texas (TPWD) confirmou em notificação oficial um vazamento que expôs dados de 3.087.721 clientes de licenças de caça e pesca, incluindo carteiras de motorista, números de passaporte, e-mails, telefones e endereços residenciais. O ataque ocorreu no sistema do fornecedor terceirizado, e os dados são suficientes para golpes de roubo de identidade em larga escala.
O que aconteceu no Texas
O Texas Cyber Command, unidade estadual de resposta a incidentes, detectou a intrusão no sistema de licenciamento gerido por um fornecedor externo não identificado. O sistema processa a venda de licenças de caça e pesca — um serviço que atende milhões de texanos todos os anos e exige validação de identidade para emissão.
A investigação apurou que um atacante não autorizado obteve acesso a informações pessoais de 3.087.721 clientes. O número é expressivo: equivale a cerca de 10% da população do Texas, o segundo estado mais populoso dos Estados Unidos. A divulgação foi feita em 18 de junho de 2026, conforme reportado pelo TechCrunch, e o caso já é considerado um dos maiores vazamentos de dados governamentais do ano.
O TPWD não revelou o nome do fornecedor terceirizado responsável pelo sistema, nem a data exata em que o ataque ocorreu. A agência afirmou apenas que “tomou medidas imediatas para fortalecer os controles de acesso aos dados de perfis de clientes” e que continua a trabalhar com o fornecedor para implementar novas salvaguardas.
Quais dados foram expostos
A notificação oficial do TPWD detalhou exatamente quais campos de informação pessoal foram comprometidos. A tabela abaixo resume o cenário completo do vazamento:
| Tipo de dado | Exposto no vazamento | Risco principal |
|---|---|---|
| Carteira de motorista | Sim | Roubo de identidade |
| Número de passaporte | Sim (quando fornecido) | Fraude de viagem/documentos |
| Sim | Phishing direcionado | |
| Telefone | Sim | Smishing e vishing |
| Endereço residencial | Sim | Engenharia social física |
| Número de Segurança Social | Não | — |
| Data de nascimento | Não | — |
| Dados financeiros/cartão | Não | — |
Embora números de Segurança Social, datas de nascimento e dados financeiros não tenham sido comprometidos, a combinação de carteira de motorista + passaporte + e-mail + telefone + endereço é mais do que suficiente para golpes sofisticados de engenharia social. Um atacante com esse perfil de dados pode se passar por uma instituição confiável e convencer a vítima a entregar voluntariamente a informação que falta.
O problema do fornecedor terceirizado
O detalhe mais revelador deste caso não é o volume de dados — é o vetor. O ataque não aconteceu dentro da infraestrutura do governo do Texas. Aconteceu num sistema operado por um terceiro, contratado para processar licenças. O governo nem sequer divulgou o nome da empresa.
Esse padrão é recorrente em vazamentos governamentais e corporativos em todo o mundo. A cadeia de fornecedores tornou-se o ponto mais fraco da segurança digital. Quando uma organização terceiriza um serviço que processa dados sensíveis, transfere também o risco — mas raramente acompanha a segurança com o mesmo rigor que aplicaria internamente. O resultado é exatamente este: milhões de pessoas comprometidas por uma falha numa empresa cujo nome o próprio cliente desconhece.
O CBS News Texas reportou que o caso segue em investigação e que o procurador-geral do estado já foi notificado formalmente, como exige a legislação estadual de notificação de incidentes.
Risco real de roubo de identidade
Carteira de motorista e número de passaporte são documentos de identificação oficial. Diferente de um e-mail vazado — incómodo, mas recuperável — esses dados são estáticos. Você não pode trocar o número do seu passaporte com a mesma facilidade com que troca uma senha. Eles valem ouro no mercado negro.
Com uma carteira de motorista válida, um fraudador pode abrir contas em bancos, solicitar créditos, alugar imóveis e cometer crimes em nome da vítima. O Inc. destaca que vítimas de roubo de identidade frequentemente só descobrem o problema meses depois, quando começam a receber cobranças ou notificações de dívidas que nunca contraíram.
O TPWD reconheceu o risco e está a oferecer um ano de monitoramento de crédito gratuito através da Kroll, com prazo de inscrição até 14 de setembro de 2026. A linha de apoio dedicada funciona no número (844) 959-7123.
O que o Brasil aprende
O cenário texano tem paralelos directos com o Brasil. A Lei Geral de Proteção de Dados (LGPD) obriga empresas e órgãos públicos a garantir a segurança dos dados pessoais que processam — incluindo dados processados por terceiros. A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar sanções aos responsáveis, mesmo quando o incidente ocorre num fornecedor externo.
A lição é clara: terceirizar um serviço não terceiriza a responsabilidade. Toda organização que compartilha dados com fornecedores precisa de cláusulas contratuais de segurança, auditorias periódicas, e um plano de resposta a incidentes que inclua o ecossistema externo. Ignorar isto não é uma questão de “se” vai acontecer — é de “quando”.
Como se proteger após um vazamento
Seja no Texas ou em São Paulo, as medidas de proteção são as mesmas. O primeiro passo é congelar o crédito junto às agências de proteção ao crédito — nos Estados Unidos, Equifax, Experian e TransUnion. No Brasil, o equivalente é bloquear consultas no Serasa e Boa Vista. É gratuito e impede que fraudadores abram contas em seu nome.
Depois, active a autenticação de dois factores em todas as contas importantes — e-mail, banco, redes sociais. Mesmo que o atacante tenha o seu e-mail e telefone, não conseguirá aceder sem o segundo factor. Fique atento a mensagens de phishing que usam os dados vazados para parecer legítimas: um e-mail que cita o seu endereço correcto e número de documento gera confiança imediata.
Por fim, monitorize extractos bancários e relatórios de crédito mensalmente. Quanto mais cedo detectar uma fraude, mais fácil será revertê-la. O custo de ignorar um vazamento é sempre superior ao custo de se proteger.
Referências
- Texas Parks & Wildlife Department — Notificação oficial do incidente
- BleepingComputer — Texas govt data breach exposes over 3 million driver’s licenses
- TechCrunch — Texas government data breach allowed hackers to steal 3 million driver’s licenses and passports
- CBS News Texas — Breach exposes data of 3 million Texas hunting and fishing license customers
- Inc. — 3 Million Texans Hit by Cyberattack Tied to Hunting, Fishing Licenses
- SC Media — Texas Parks & Wildlife data breach exposes millions of driver’s licenses, passport numbers