Netshoes recomendada a avisar clientes sobre vazamento gigante de dados

O Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou, na última quinta-feira, 25/01, que o site de compras Netshoes, especializado em artigos esportivos, avise, por telefone ou correspondência, 1.999.704 milhões de clientes a respeito de um vazamento de dados, ocorrido a partir de uma falha de segurança na empresa. No pedido, o promotor Frederico Meinberg diz se tratar de “um dos maiores incidentes de segurança já registrados no Brasil”.

Segundo o MPDFT, a brecha, revelada no início deste mês, fez com que informações pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras fossem revelados a hackers – o órgão recomendou ainda que a empresa não faça nenhum tipo de pagamento aos cibercriminosos que causaram a falha de segurança.

De acordo com Meinberg, a atuação é necessária, “diante da gravidade dos fatos, do risco de prejuízos graves aos consumidores e da quantidade de titulares dos dados pessoais afetados”, destacou. Para o pesquisador em telecomunicações do Instituto Brasileira de Defesa do Consumidor (Idec), Rafael Zanatta, o caso é inédito no Brasil – isso porque, como o País não tem uma lei específica de proteção de dados pessoais, nem uma autoridade independente responsável por supervisionar a questão por aqui, o Ministério Público do Distrito Federal assumiu tal responsabilidade.

Entre os usuários afetados, diz o pedido do MPDFT, há contas de emails de servidores públicos, como da Presidência da República, do Supremo Tribunal Federal, da Polícia Federal e Advocacia-Geral da União. “Isso abre espaço para um potencial de dano enorme. Muita gente no Brasil usa a mesma senha para diversas contas. Com esse vazamento, pode se comprometer não só informações pessoais, mas também habilitar o acesso a emails institucionais de assuntos sensíveis do País”, avalia Zanatta.

O MPDFT deu à Netshoes o prazo de três dias úteis para avisar os quase 2 milhões de consumidores sobre o vazamento dos dados. Segundo o pedido, a comunicação só será considerada válida com confirmação de recebimento dos usuários. Caso isso não aconteça, a empresa poderá ser acionada na Justiça por danos morais e materiais causados aos consumidores.

Procurada pelo Estado, a Netshoes respondeu que está “em contato com o Ministério Público a fim de avaliar as medidas cabíveis ao caso dentro do prazo estabelecido”. A empresa disse ainda que “tem a proteção de dados como um de seus mais sólidos compromissos e que, desde o princípio, envolve órgãos competentes neste caso para a mais breve apuração, esclarecimento e solução do ocorrido com total transparência”.

Para o pesquisador do Idec, os usuários devem pressionar a empresa para tomar as atitudes necessárias e mitigar os danos. “Como não existe regra clara na lei sobre o que deve acontecer em um incidente de segurança, as empresas só respondem quando há pressão popular ou das autoridades.”

No ano passado, a Netshoes abriu capital na Bolsa de Nova York – neste momento, as ações da empresa operam com forte alta de 5% no mercado norte-americano.

Fonte: Estadão

Forte indício: grande vazamento de dados da Netshoes

A Netshoes, ao que parece, está com um furo no encanamento: ano passado, dados de 500 mil clientes da empresa acabaram vazando na internet.

Neste 16/01, o TecMundo recebeu uma lista com dados de 1 milhão de clientes em um documento com 180 MB. Entre os dados, estão: nome completo, número CPF, valor gasto e data da última compra e data de nascimento — além da ordem de compra e SKU (Unidade de Manutenção de Estoque), da própria empresa.

O documento recebido pelo TecMundo foi assinado pelo mesmo hacker que enviou os documentos anteriores: “DFrank”. Na época, a suspeita era de que os dados foram obtidos por um golpe de phishing — o cibercriminoso envia um texto armadilha indicando que você ganhou algum prêmio ou dinheiro e, quando você entra nesse link e insere os seus dados sensíveis, os dados são roubados. Contudo, o vazamento sistemático, que no total juntam mais de 1,5 milhão de dados, indicam algum acesso a base de dados da Netshoes.

Sobre o acesso, “DFrank” se limitou a dizer que “explorou vulnerabilidades na plataforma para acessar os dados”.

Posicionamento da Netshoes

A Netshoes reafirma que não foram identificados quaisquer indícios de invasão aos sistemas da empresa e segue em constante monitoramento. A Companhia reforça que, a exemplo dos dados divulgados pelo hacker no fim do ano passado, esta nova lista não inclui informações bancárias, de cartões de crédito ou senhas de acesso. Como premissa de sua atuação, a Netshoes reitera o compromisso com a segurança de seus ambientes tecnológicos, a fim de garantir a proteção das informações de sua base de consumidores.

Qual o perigo do vazamento desses dados

Para um cibercriminoso com um conhecimento considerável, as informações obtidas por “DFrank” podem ser utilizadas para diversos no golpe. Ou seja: não é necessário ter o número da conta corrente e senha para praticar algum golpe.

Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite “desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social”.

Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.

O seu nome está na lista?

O TecMundo não vai divulgar a lista por razões óbvias: segurança. Mesmo assim, se você quiser checar o seu nome, você pode conseguir isso de duas maneiras:

  • Entre em contato com a Netshoes, eles já possuem a lista e devem fornecer a informação
  • Acesse o Have I Been Pwned; o site está atualizado com os vazamentos anteriores da Netshoes e, em breve, deve atualizar com a nova lista de 1 milhão de nomes
  • Se o seu nome estiver na lista, você pode consultar um advogado. Além disso, é interessante ficar ligado em possíveis golpes de phishing no seu e-mail ou mensageiros.
Fonte: Tecmundo