IBM expõe dados de 70.000 pessoas em ambiente de testes da Singapore Land Authority

A Singapore Land Authority confirmou acesso não autorizado a ambiente de nuvem gerenciado pela IBM, expondo nomes, números de NRIC e endereços de cerca de 70.000 pessoas armazenados desde 1998 em dataset de testes nunca anonimizado.
A Singapore Land Authority (SLA) anunciou em 3 de julho que dados pessoais de aproximadamente 70.000 pessoas foram acessados de forma não autorizada em um ambiente de nuvem gerenciado pela IBM. Os registros comprometidos incluem nomes, números de NRIC (National Registration Identity Card) e endereços de imóveis dos afetados.
"A SLA foi informada pela IBM sobre um incidente de segurança envolvendo acesso não autorizado a um ambiente de nuvem gerenciado pela IBM", disse a agência em comunicado publicado em seu site oficial. A IBM revogou o acesso ao ambiente comprometido e a SLA formou grupo de resposta conjunto com a IBM, a Government Technology Agency of Singapore (GovTech) e a Cyber Security Agency of Singapore (CSA). O caso foi registrado em boletim policial e a Personal Data Protection Commission de Singapura foi notificada.
A IBM não havia divulgado comunicado público próprio até o fechamento desta edição.
Dataset de 1998 nunca submetido a revisão de anonimização
O banco de dados exposto foi criado em 1998 para uso em desenvolvimento e testes de integração dos sistemas STARS (Singapore Titles Automated Registration System) e ELS (eLodgment System), os dois sistemas centrais que processam transferências de propriedades e registros de ônus imobiliários em Singapura. O propósito declarado era conter apenas registros fictícios.
"As informações deveriam ter sido anonimizadas, mas não foram", afirmou a SLA, acrescentando que as investigações estão em curso para determinar como dados reais persistiram no ambiente por quase três décadas. A agência confirmou que os sistemas de produção STARS e ELS permanecem intactos e que nenhum registro operacional foi comprometido.
O contrato original da IBM com a SLA antecede a Personal Data Protection Act de Singapura, promulgada em 2012. O padrão é comum em organizações com contratos de TI longos: datasets criados antes de regulações modernas de privacidade, com dados reais inseridos por conveniência operacional, sobrevivem décadas em ambientes não-produtivos sem revisão de ciclo de vida, invisíveis nos acordos de nível de serviço renegociados ao longo do tempo.
O ponto cego em contratos de managed services
A responsabilidade sobre dados em ambientes de teste raramente aparece descrita nos contratos de outsourcing de TI firmados antes de 2015. O fornecedor gerencia o ambiente; o contratante assume que a anonimização foi realizada; nenhum dos dois audita o dataset periodicamente. O incidente da SLA coloca esse ponto cego no centro do debate sobre governança de dados em outsourcing de longa duração.
Na Europa, o regulamento DORA, em vigor desde janeiro de 2025, classifica ambientes de TI gerenciados por terceiros como risco operacional primário para entidades financeiras. Uma exposição de dados reais em ambiente de testes gerenciado por fornecedor obriga notificação à autoridade competente dentro de 24 horas se houver impacto em serviços financeiros. Bancos europeus que usam IBM como provedor de infraestrutura legada precisam verificar se seus contratos cobrem explicitamente o ciclo de vida de dados em ambientes não-produtivos.
No Japão, onde bancos como MUFG e Mizuho mantêm contratos de managed services com integradores ocidentais para sistemas de core bancário dos anos 1990, a questão é equivalente. A Lei de Proteção de Informações Pessoais (APPI), atualizada em 2022, obriga conformidade em todos os ambientes onde dados pessoais estejam presentes, inclusive em desenvolvimento e testes. O órgão regulador japonês, PPC, passou a conduzir inspeções específicas sobre dados em ambientes de desenvolvimento após as emendas de 2022, mas a fiscalização sobre fornecedores terceirizados permanece inconsistente.
O que muda para quem terceiriza infraestrutura legada
Accenture, Capgemini, TCS e Infosys gerenciam ambientes de desenvolvimento e testes para governos e bancos na Asia-Pacifico, na Europa e na America Latina com contratos estruturados sob regimes de privacidade igualmente desatualizados. A IBM não é um caso isolado: é um caso documentado. A pergunta que o incidente coloca para qualquer CIO com contratos de outsourcing longos é direta: quando foi a última vez que os datasets de teste do seu fornecedor foram auditados para identificar presença de dados pessoais reais?
A SLA confirmou que está notificando individualmente as 70.000 pessoas afetadas e orientando-as sobre medidas de assistência disponíveis. A origem do acesso não autorizado e o período de exposição dos dados permanecem sob investigação pela IBM, GovTech e CSA.