No domingo retrasado (2/9), o grupo hacker Fatal Error publicou o código de base de dados da Boa Vista SCPC, empresa que controla informações pessoais de mais de 350 milhões de brasileiros. O vazamento, tornado público por reportagem do jornal Folha de São Paulo, não foi confirmado pela empresa, mas o Ministério Público do Distrito Federal e Territórios (MPDFT) já abriu inquérito para investigar o caso. A Boa Vista oferece serviços de análise de crédito, como a Serasa e o SPC.
Banco Inter pode ter que pagar R$ 10 milhões por vazamento de dados de clientes
O grupo hacker havia divulgado as informações da invasão em um site de compartilhamento de códigos de computados, usado de forma anônima por profissionais de cibersegurança, segundo a Folha. O vazamento envolve dados cadastrais, como nome completo, endereço, identidade, data de nascimento e nome da mãe.
Segundo Marcel Mathias, diretor de Pesquisa e Desenvolvimento da Blockbit, empresa especializada em segurança da informação, o mercado reconhece a invasão devido aos arquivos vazados e a reputação dos hackers, o mesmo grupo responsável pelo vazamento de dados da C&A, também na semana passada.
“O Fatal Error é conhecido no Twitter e tem foco ativista”, diz Mathias. O grupo diz que realizou a ação por considerar que uma empresa de análise de crédito não poderia ter dados de consumidores que não estão negativados. “Foi um ataque político, mas esses dados poderiam ser usados para propagar campanhas de phishing ou vender os CPFs no mercado negro”, diz o diretor.
Há duas hipóteses sobre a origem do ataque. A primeira é que o grupo conseguiu explorar uma API que não exigia autenticação para o acesso, explica Mathias. A segunda é o uso da vulnerabilidade de servidor Apache Struts 2, chamada CVE 2018-11776. Esta última é uma das linhas de investigação da Comissão de Proteção de Dados Pessoais do MPDFT.
“Um gerenciador de vulnerabilidades poderia ter resolvido o problema da Boa Vista”, afirma o especialista da Blockbit. De acordo com ele, a Boa Vista precisa analisar o incidente e atualizar sua segurança. Na sequência, precisa notificar quem foi atingido e alertá-los sobre a necessidade de atualizar senhas e não clicar em e-mails duvidosos.
C&A também sofre ataque
O MPDFT também investiga o ataque sofrido pela varejista de roupas C&A, vítima do mesmo grupo que a Boa Vista. No caso, a empresa teve vazados dados do sistema de cartão presente, que incluem número e valor do cartão presente, e-mail, CPF, data de compra, entre outros. Segundo o portal TecMundo, os hackers dizem ter alcançado dois milhões de clientes e 36 mil cartões presentes. A C&A confirmou o ataque e disse ter iniciado seu plano de contingência e que está tomando as devidas providências jurídicas.
Para Mathias, ataques como esse e como o sofrido pelo Banco Inter mostram a necessidade das empresas tomarem maior cuidado com a segurança das informações. “A expectativa é que a nova Lei de Proteção de Dados Pessoais mude esse cenário e faça com que as empresas se esforcem para se tornarem mais seguras”, encerra.