Boa Vista, que detém mais de 350 mi de dados, apura invasão hacker

Birô de crédito possui dados como CPF, endereço e histórico de dívidas

Paula Soprana
São Paulo

A Boa Vista SCPC, empresa que detém mais de 350 milhões de dados pessoais de brasileiros, investiga uma suposta invasão hacker ao seu banco de dados, que teria ocorrido no domingo (2).

A Boa Vista oferece a clientes  serviços de análise de crédito e é uma das precursoras do Cadastro Positivo. Suas concorrentes são Serasa e SPC. 

No domingo, o coletivo hacker Fatal Error publicou em um site de compartilhamento de códigos de computador, usado de forma anônima por pessoas ligadas à segurança da informação, que obteve acesso à base de dados da empresa.

Empresa de análise de crédito, Boa Vista teve sua base de dados hackeada na noite de domingo
Empresa de análise de crédito, Boa Vista teve sua base de dados hackeada na noite de domingo - Reprodução

Um arquivo indicado por um pesquisador à Folha mostra que os hackers conseguiram acessar dados pessoais, supostamente ligados à Boa Vista, que deveriam estar protegidos, como nome completo, endereço, identidade, data de nascimento e nome da mãe.

A empresa não confirmou o ataque, mas outros três especialistas em segurança da informação reconhecem a invasão, parte pela reputação das pessoas envolvidas e pelos arquivos vazados na internet.

No site em que anunciou a intrusão digital, o coletivo se mostra ativista. A mensagem indaga o direito da Boa Vista SCPC “possuir dados pessoais de todos os brasileiros, mesmo que eles não possuam dívidas”.

“Não postamos nenhuma informação, de nenhum brasileiro, pois prezamos pela privacidade dos mesmos. Porém, sugiro mudarem todas suas senhas logo”, diz.

O hacking, que é a capacidade de invadir um sistema de computador a partir de suas vulnerabilidades, foi por meio do acesso ao servidor da empresa, dizem especialistas.

“Nas últimas semanas, foram divulgadas diversas falhas de aplicações que mantêm esses sites. O que pode ter acontecido é esse grupo ter usado as falhas para acessar os servidores. Muitos analistas de empresas ainda não fizeram as atualizações”, diz Igor Rincon, gerente de Produto na Flipside, empresa ligada à conscientização do tema.

Os riscos decorrentes esse tipo de vazamento são muitos. O mais básico é o recebimento indesejado de email marketing. Os mais perigosos são a possibilidade de a pessoa receber uma maior quantidade de vírus por e-mail bem como fraudes baseadas na identidade. 

“Transações e cadastros podem ser feitos na internet sem a necessidade de dados mais complexos do que CPF, e-mail e endereço”, diz Bruno Bioni, professor e fundador do Data Privacy Brasil. 

No dia 14 de agosto, o governo sancionou a Lei Geral de Proteção de Dados Pessoais. Considerada um marco leal para a privacidade, a legislação passa a valer em 2020. 

Caso a norma já estivesse em vigor e o caso fosse confirmado, a Boa Vista precisaria notificar o incidente à Agência Nacional de Proteção de Dados Pessoais. No entanto, essa autoridade ainda precisa ser proposta por meio de outra iniciativa legislativa.

Na época da aprovação, o presidente Michel Temer sinalizou que o governo acharia uma solução, mas ainda não houve movimento nesse sentido.

Uma autoridade de proteção, como exemplo da Europa, tem o papel de analisar o histórico da empresa e auxiliá-la na mitigação de danos. A depender do contexto, pode adverti-la pelo vazamento de dados ou impor uma multa de 2% do faturamento, limitada a R$ 50 milhões por infração.

“Possivelmente com a evolução do caso o Ministério Público deve atuar na proteção desses dados afetados. Infelizmente, do ponto de vista individual, muito pouco pode ser feito pelo cidadão comum, uma vez o vazamento é imutável”, diz Sandro Süffert, presidente da Apura Cybersecurity Intelligence, empresa de segurança cibernética. 

O especialista, diz que é preciso redobrar a atenção a tentativas de golpes baseados em falsidade ideológica. Outra dica é verificar a autenticidade de e-mails recebidos e não clicar em links ou baixar documentos suspeitos.

Por meio de nota, a Boa Vista SCPC disse que regularmente audita, protege e analisa eventuais comunicações relacionadas à sua atividade. Também informa que está “diligenciando para apurar a origem e extensão do possível incidente” e que “se for o caso, adotará todas as medidas técnicas e legais pertinentes.” 

Ministério Público apura vazamento de informações da C&A

O Ministério Público do Distrito Federal e Territórios abriu inquérito para apurar o possível vazamento de dados de 2 milhões de clientes da cadeia de lojas de varejo C&A.

O objetivo da portaria é acompanhar as consequências da exposição indevida dos dados.

A C&A disse que responderá às solicitações de informações no prazo. Também confirmou o ciberataque no sistema na última semana, e afirmou que acionou seu plano de contigência, notificou as autoridades competentes e que “está atuando ativamente para se adequar à nova legislação de proteção brasileira”.

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.