1A Boa Vista SCPC, empresa que detém mais de 350 milhões de dados pessoais de brasileiros, investiga uma invasão hacker ao seu banco de dados, que teria ocorrido no domingo (2).
A Boa Vista oferece a clientes serviços de análise de crédito e é uma das precursoras do Cadastro Positivo. Suas concorrentes são Serasa e SPC.
No domingo, o coletivo hacker Fatal Error publicou em um site de compartilhamento de códigos de computador, usado de forma anônima por pessoas ligadas à segurança da informação, que obteve acesso à base de dados da empresa.
Um arquivo indicado por um pesquisador à reportagem mostra que os hackers conseguiram acessar dados pessoais que deveriam estar protegidos pela Boa Vista, como nome completo, endereço, identidade, data de nascimento e nome da mãe.
Apesar de a empresa não confirmar o ataque, outros três especialistas em segurança da informação reconhecem a invasão, parte pela reputação das pessoas envolvidas e pelos arquivos vazados na internet.
No site em que anunciou a intrusão digital, o coletivo se mostra ativista. A mensagem indaga o direito da Boa Vista SCPC "possuir dados pessoais de todos os brasileiros, mesmo que eles não possuam dívidas". "Não postamos nenhuma informação, de nenhum brasileiro, pois prezamos pela privacidade dos mesmos. Porém, sugiro mudarem todas suas senhas logo", diz.
O hacking, que é a capacidade de invadir um sistema de computador a partir de suas vulnerabilidades, foi por meio do acesso ao servidor da empresa, dizem especialistas.
"Nas últimas semanas, foram divulgadas diversas falhas de aplicações que mantêm esses sites. O que pode ter acontecido é esse grupo ter usado as falhas para acessar os servidores. Muitos analistas de empresas ainda não fizeram as atualizações", diz Igor Rincon, gerente de Produto na Flipside, empresa ligada à conscientização do tema.
Os riscos decorrentes esse tipo de vazamento são muitos. O mais básico é o recebimento indesejado de email marketing. Os mais perigosos são a possibilidade de a pessoa receber uma maior quantidade de vírus por e-mail bem como fraudes baseadas na identidade.
"Transações e cadastros podem ser feitos na internet sem a necessidade de dados mais complexos do que CPF, e-mail e endereço", diz Bruno Bioni, professor e fundador do Data Privacy Brasil.
No dia 14 de agosto, o governo sancionou a Lei Geral de Proteção de Dados Pessoais. Considerada um marco leal para a privacidade, a legislação passa a valer em 2020.
Caso a norma já estivesse em vigor, a Boa Vista precisaria notificar o incidente à Agência Nacional de Proteção de Dados Pessoais. No entanto, essa autoridade ainda precisa ser proposta por meio de outra iniciativa legislativa. Na época da aprovação, o presidente Michel Temer sinalizou que o governo acharia uma solução, mas ainda não houve movimento nesse sentido.
Uma autoridade de proteção, como exemplo da Europa, tem o papel de analisar o histórico da empresa e auxiliá-la na mitigação de danos. A depender do contexto, pode adverti-la pelo vazamento de dados ou impor uma multa de 2% do faturamento, limitada a R$ 50 milhões por infração.
"Possivelmente com a evolução do caso o Ministério Público deve atuar na proteção desses dados afetados. Infelizmente, do ponto de vista individual, muito pouco pode ser feito pelo cidadão comum, uma vez o vazamento é imutável", diz Sandro Süffert, presidente da Apura Cybersecurity Intelligence, empresa de segurança cibernética.
O especialista, diz que é preciso redobrar a atenção a tentativas de golpes baseados em falsidade ideológica. Outra dica é verificar a autenticidade de e-mails recebidos e não clicar em links ou baixar documentos suspeitos.
Por meio de nota, a Boa Vista SCPC disse que regularmente audita, protege e analisa eventuais comunicações relacionadas à sua atividade. Também informa que está "diligenciando para apurar a origem e extensão do possível incidente" e que "se for o caso, adotará todas as medidas técnicas e legais pertinentes."
Folhapress
