Mais um grande vazamento de dados foi revelado nesta quinta-feira (21), atingindo milhões de consumidores. Um laboratório independente de segurança digital que reúne pesquisadores de diferentes partes do mundo, divulgou relatório que mostra que a plataforma de vendas on-line Hariexpress, parceria de gigantes do varejo que atuam no Brasil como Magalu, Americanas, Shopee, Mercado Livre e Amazon, expôs mais de 1,75 bilhão dados confidenciais.
O relatório foi divulgado pelo grupo Safety Detectives e, conforme reportagem publicada no UOL, os dados equivalem a 610 gigabytes de informações.
Os pesquisadores verificaram uma má configuração em um servidor da Hariexpress, chamado de ElasticSearch, que é como um mecanismo de buscas dentro dos sites. Ele estava sem criptografia e sem qualquer proteção por senha. A exposição das informações foi identificada em maio deste ano, mas o relatório só foi divulgado em outubro em razão dos dados estarem em português.
A Hariexpress oferece um serviço em que comerciantes podem automatizar vendas por meio do marketplace, em que grandes varejistas exibem produtos de terceiros. Para facilitar o processo, os vendedores cadastram seus produtos de uma vez em várias lojas. Além das já citadas, a empresa tem integração com os Correios.
Essa exposição pode fazer os clientes e vendedores serem alvos de golpes. O relatório não conseguiu apontar quanto do 1,75 bilhão de dados representa em pessoas físicas ou jurídicas. O grupo Safe Detectives informou que não conseguiu tratar do incidente no servidor com a Hariexpress.
Vazamentos como esse têm se tornado constantes e ligado um alerta sobre a falta de proteção de dados pessoais. Segund o diretor-presidente do Procon-ES, Rogério Athayde, as empresas são obrigadas a contar com mecanismos para garantir o controle e a segurança dos dados pessoais dos consumidores.
Em caso de descumprimento das normas ditadas pela Lei Geral de Proteção de Dados Pessoais (LGPD), Athayde explica que as companhias poderão sofrer sanções administrativas, civis e penais previstas em lei e no Código de Defesa do Consumidor.
Rogério Athayde
Diretor-presidente do Procon-ES
"Caso os dados pessoais sejam utilizados de forma indevida ou criminosa, poderá o consumidor registrar um boletim de ocorrência para investigação e uma reclamação nos órgãos de defesa do consumidor"
A reportagem de A Gazeta consultou três especialistas no assunto para saber como identificar e o que fazer caso o consumidor tenha seus dados expostos: o diretor de relações do Instituto Brasileiro de Defesa do Consumidor (Idec), Igor Britto; o advogado criminalista Raphael Câmara; e o especialista em segurança da informação Gilberto Sudré.
COMO SABER SE MEUS DADOS FORAM VAZADOS
É possível monitorar o uso do seu CPF consultando abertura de contas e pedidos de empréstimos indevidos caso o documento tenha sido vazado. Essa opção é oferecida pelo Registrato, plataforma do Banco Central. O cadastro é gratuito e a pessoa consegue saber se alguém abriu conta em nome dele, fez financiamento, etc.
Em serviços de proteção ao crédito, como Serasa e SPC, também é possível fazer consulta se estão usando seu CPF de algum modo.
Há ainda plataformas como o site haveibeenpwned.com, onde o usuário cadastra o e-mail e consegue identificar quais outros locais o e-mail vazou, e o site minhasenha.com, que conta com serviço que indica se o e-mail foi vazado. Há ainda uma ferramenta do navegador Firefox, chamada monitor.firefox.com, que é possível colocar o e-mail e checar vazamentos.
DICAS DE SEGURANÇA
-
01
Crie senhas seguras
Misture letras com números e também caracteres especiais (como [email protected]$#+) e você também pode substituir letras por caracteres, como por exemplo "a" por "@" e a "i" por "!". Evite senhas muito óbvias, como data do seu aniversário.
-
02
Evite aproveitar a mesma senha em vários serviços
Em hipótese alguma use a mesma senha do banco para contas em serviços na internet. Se uma senha for vazada, fica mais fácil que informações de outras contas também fiquem expostas.
-
03
Ative a verificação em duas etapas
Além da senha tradicional, você pode optar por outra forma de verificação, um código a mais para garantir sua identidade (além da sua senha), que pode ser um número aleatório ou até adicionando o requisito extra de confirmar sua identidade através de seu e-mail.
-
04
Fique atento a atividades suspeitas
Desconfie quando, por exemplo, começam a ligar com mais frequência oferecendo serviços (que podem ser reais ou falsos); quando utilizam seus dados para algum cadastro em seu nome sem o seu consentimento; e quando enviam boletos falsos, inclusive em nome de uma empresa conhecida, como operadoras de internet.
-
05
Comunique o vazamento
É possível registrar um Boletim de Ocorrência on-line para se prevenir de fraudes. É só acessar o site da Polícia Civil ou da Delegacia Virtual do Estado e conferir se há a opção de comunicar "Outras Ocorrências". Se houver, na descrição da ocorrência, escreva de forma simples e objetiva o que aconteceu.
-
06
Foi prejudicado pelo vazamento? Judicialize o caso
Caso se sinta prejudicado, procure o Procon se a empresa não responder adequadamente. Reporte também o caso na plataforma Consumidor.gov, caso seja uma empresa cadastrada. Ainda é possível entrar com uma ação judicial para reparação nos Juizados Especiais Civil (JECs).
MEGAVAZAMENTO DA HARIEXPRESS: O QUE FOI EXPOSTO
A base da Hariexpress tinha 610 gigabytes de informações. Entre os registros encontrados, estão dados pessoais de clientes e lojistas, como:
- Nomes completos e "apelidos" da conta (nomes de usuário);
- Endereço de e-mail;
- Números de telefone;
- Endereços de entrega completos;
- Detalhes de faturamento, incluindo endereços de cobrança e o valor pago pelas mercadorias;
- Imagens das mercadorias entregues.
Ainda de acordo com o laboratório, os dados de vendedores incluíam CNPJ, CPF e detalhes das cobranças.
O QUE DIZEM AS EMPRESAS
O UOL entrou em contato com as empresas afetadas. A Amazon disse que leva muito a sério a segurança de dados. "Desenvolvemos todos os nossos sistemas e processos considerando a segurança da informação. Com relação a este episódio, fomos informados pela HariExpress que não ocorreu o vazamento de nenhum dado da Amazon", acrescenta.
A Americanas informou que “desconhece a ocorrência de qualquer vazamento de dados de seus clientes ou vulnerabilidade em seu ambiente. A informação também foi certificada pela Hariexpress na última semana" e "segue oferecendo uma plataforma íntegra e segura, aderente a toda legislação vigente".
Os Correios enviaram nota dizendo que "até o momento, não há indícios de violação de informações — de pessoas físicas ou jurídicas — oriundas da base de dados da estatal. O sistema dos Correios que mantém integração ao servidor citado atua apenas na aferição de peso de encomendas e precificação, não havendo o processamento de dados pessoais".
A empresa Magalu esclareceu que contou com a Hariexpress como um de seus integradores por um período de dez meses. Durante esse período, a HariExpress adicionou apenas 30 sellers [adicionar produtos] à plataforma da companhia e registrou 12 vendas. Até este momento, o Magalu não registrou qualquer vazamento de dados".
O Mercado Livre suspendeu preventivamente a operação da Hariexpress em sua plataforma "tão logo soube do ocorrido". A empresa sustenta que a plataforma "atua como integradora de marketplaces, presta serviço exclusivamente para vendedores que anunciam produtos em diferentes plataformas do mercado, dentre elas o Mercado Livre".
Também em nota, a Shopee disse que a "Hariexpress já informou que os usuários da empresa não foram impactados. A Shopee leva a privacidade dos dados muito a sério e está empenhada em garantir a segurança e proteção dos dados de todos no ecossistema".
Este vídeo pode te interessar
Notou alguma informação incorreta no conteúdo de A Gazeta? Nos ajude a corrigir o mais rápido possível! Clique no botão ao lado e envie sua mensagem.
Envie sua sugestão, comentário ou crítica diretamente aos editores de A Gazeta.
