Boa Vista SCPC pode ter vazado dados de milhões de brasileiros
O MPDFT abriu um procedimento administrativo para “acompanhar as consequências do incidente de segurança envolvendo a base de dados da empresa C&A”. O documento de 30 de agosto foi divulgado nesta segunda-feira (3).
O coletivo hacker Fatal Error Crew diz ao Tecmundo que invadiu o sistema de vale-presentes da C&A, e que obteve os seguintes dados: número do cartão, CPF, e-mail, valor adquirido, e-mail do funcionário que fez a transação, número do pedido e data da compra. O hacker @j0shua publicou no Pastebin alguns desses dados. Segundo ele, foram expostos quatro milhões de pedidos, e estima-se que dois milhões de clientes foram afetados (alguns fizeram mais de um pedido). No entanto, o coletivo Fatal Error Crew diz que não vai distribuir esses dados pessoais, “visto que não compactuamos com crimes financeiros”. Eles publicaram as informações de cartões-presente que “estavam na seção de devolução, portanto seriam descartados”. Se a Lei Geral de Proteção de Dados Pessoais estivesse em vigor, a C&A teria que notificar a ANPD (Autoridade Nacional de Proteção de Dados) sobre a invasão. Ela poderia levar desde uma advertência até multa equivalente a 2% do faturamento, limitada a R$ 50 milhões. A lei só começa a valer em 2020.
Invasão após denúncia de abuso de dados na C&A
Por que o grupo invadiu os sistemas da C&A? É que algumas lojas estariam usando dados pessoais de candidatos a emprego para contratar, sem permissão, o cartão de crédito da loja. Seria uma forma de “bater a meta”. O hacker escreve: “já que vocês gostam de brincar com os dados dos outros, decidimos brincar um pouco com os seus sistemas”. A C&A diz em comunicado à Agência Brasil que “sofreu um ciberataque no seu sistema de vale-presente/trocas na última semana e, tão logo identificou o ocorrido, acionou seu plano de contingência e notificou as autoridades competentes”. A empresa confirma que recebeu o ofício e que vai responder às perguntas do MPDFT. Em relação à Lei de Proteção de Dados Pessoais, ela diz que “está atuando ativamente para se adequar à nova legislação brasileira sobre o tema que entrará em vigor em 2020”.