O Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou inquérito civil público para investigar o comprometimento de dados pessoais de um suposto vazamento que envolve a Boa Vista SCPC, empresa que detém mais de 350 milhões de dados de brasileiros. 

“Os investigadores tiveram acesso ao arquivo inicial sobre o incidente, que pode ter afetado mais de 350 milhões de cadastrados”, disse o MPDFT em nota. 

No domingo (2), como noticiou a Folha, o coletivo hacker Fatal Error publicou em um site de compartilhamento de códigos de computador, usado de forma anônima, que obteve acesso a dados que deveriam estar protegidos.

A Boa Vista não confirmou a invasão ao sistema e nem o vazamento desses dados na internet, e apura o caso internamente. 

“Até o momento não recebemos nenhuma notificação do Ministério Público. Assim que for notificada, a empresa prestará tempestivamente toda a colaboração e esclarecimentos necessários”, comunicou.

Diversos especialistas em segurança da informação ouvidos pela reportagem defendem que houve uma intrusão, mas que é difícil comprovar o vazamento. 

“Houve invasão. Pegaram as chaves privadas, mesmo que sejam antigas. O que não tem como comprovar foi o vazamento de dados de todo o banco da Boa Vista”, explicou um especialista de segurança que prefere não ser identificado.

A motivação da invasão, segundo o Fatal Error, é ativista. Serve para “expor a vulnerabilidade” de um sistema que reúne dados sensíveis de brasileiros. Uma mensagem indaga o direito da Boa Vista “possuir dados pessoais de todos os brasileiros, mesmo que eles não possuam dívidas”. 

Apesar disso, circula na internet um arquivo com dados como nome completo, endereço, nome da mãe, CPF e email de centenas de milhares de pessoas. A partir do número de CPF, é possível reunir dados de todas as pessoas com o mesmo sobrenome. O grupo alega que não é responsável pelo vazamento. 

Com esse tipo de dado, criminosos podem cometer fraudes ideológicas e aumentar o envio emails maliciosos. A dica primária aos cidadãos é que não cliquem em links suspeitos e não baixem documentos de e-mails sem a certeza de que são confiáveis.

No inquérito, o MPDFT cita a Lei do Cadastro Positivo, que regula a formação e a consulta a bancos de dados para formação de histórico de crédito. Baseada nessa norma, a Boa Vista é considerada empresa gestora. “Por isso, tem responsabilidade objetiva e solidária pelos danos materiais e morais que causar aos cadastrados”, diz o documento.

O promotor de Justiça Frederico Meinberg, coordenador da Comissão de Proteção de Dados Pessoais, afirma que a investigação busca esclarecer as circunstâncias do suposto incidente e ivestigar se a causa foi a “recente vulnerabilidade identificada”.

O mesmo órgão investiga o possível vazamento de dados de 2 milhões de clientes da C&A. A empresa confirmou o ciberataque, e disse que acionou seu plano de contingência, notificou as autoridades e que atua para se adequar à Lei de Proteção de Dados Pessoais, em vigor em 2020”. Os dados da C&A, no entanto, não estão disponíveis na internet.