Início » Antivírus e Segurança » MP apura se C&A vazou dados pessoais de 2 milhões de clientes

MP apura se C&A vazou dados pessoais de 2 milhões de clientes

C&A sofreu invasão no sistema de vale-presente, mas não confirma vazamento de dados como CPF e e-mail

Felipe Ventura Por

A varejista de roupas C&A é alvo de um inquérito aberto pelo MPDFT (Ministério Público do Distrito Federal e Territórios). A Comissão de Proteção de Dados Pessoais quer saber se a loja realmente vazou dados de 2 milhões de clientes, incluindo CPF e e-mail.

O MPDFT abriu um procedimento administrativo para “acompanhar as consequências do incidente de segurança envolvendo a base de dados da empresa C&A”. O documento de 30 de agosto foi divulgado nesta segunda-feira (3).

O coletivo hacker Fatal Error Crew diz ao Tecmundo que invadiu o sistema de vale-presentes da C&A, e que obteve os seguintes dados: número do cartão, CPF, e-mail, valor adquirido, e-mail do funcionário que fez a transação, número do pedido e data da compra.

O hacker @j0shua publicou no Pastebin alguns desses dados. Segundo ele, foram expostos quatro milhões de pedidos, e estima-se que dois milhões de clientes foram afetados (alguns fizeram mais de um pedido).

No entanto, o coletivo Fatal Error Crew diz que não vai distribuir esses dados pessoais, “visto que não compactuamos com crimes financeiros”. Eles publicaram as informações de cartões-presente que “estavam na seção de devolução, portanto seriam descartados”.

Se a Lei Geral de Proteção de Dados Pessoais estivesse em vigor, a C&A teria que notificar a ANPD (Autoridade Nacional de Proteção de Dados) sobre a invasão. Ela poderia levar desde uma advertência até multa equivalente a 2% do faturamento, limitada a R$ 50 milhões. A lei só começa a valer em 2020.

Invasão após denúncia de abuso de dados na C&A

Por que o grupo invadiu os sistemas da C&A? É que algumas lojas estariam usando dados pessoais de candidatos a emprego para contratar, sem permissão, o cartão de crédito da loja. Seria uma forma de “bater a meta”. O hacker escreve: “já que vocês gostam de brincar com os dados dos outros, decidimos brincar um pouco com os seus sistemas”.

A C&A diz em comunicado à Agência Brasil que “sofreu um ciberataque no seu sistema de vale-presente/trocas na última semana e, tão logo identificou o ocorrido, acionou seu plano de contingência e notificou as autoridades competentes”.

A empresa confirma que recebeu o ofício e que vai responder às perguntas do MPDFT. Em relação à Lei de Proteção de Dados Pessoais, ela diz que “está atuando ativamente para se adequar à nova legislação brasileira sobre o tema que entrará em vigor em 2020”.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Gabriel Alves

Se for de SP, tá perdendo dinheiro com a devolução que o governo faz.

Alexandre Roberto

o legal e que quando uma empresa e invadida, caem matando em cima da empresa, teoricamente a vitima de um crime cibernetico
queria ver esse MP cair matando desse jeito em cima de call centers q conseguem seus dados sei la onde e ficam atormentando as pessoas ligando 10x no dia, ate mesmo de noite para oferecer assinatura de qualquer porcaria e por mais q o nao cliente abra reclamacoes continuam ligando 10x por dia p tentar vender

Baidu feat MC Brinquedo

Instalado com sucesso!

X-Tudãoᴳᴼᵀ

CPF na nota senhor?

Caleb Enyawbruce

Ta feia a coisa...

Baidu feat MC Brinquedo

Na dúvida nunca coloco meu CPF quando eles me pedem.

Carlin

Com todo o tumulto que o tema vazamento de dados está gerando é melhor aceitar que houve sim vazamento e não ficar naquela negação ridícula do Banco Inter! Assumir que houveram erros pode amenizar a sujeira que o fato pode trazer a imagem da empresa.

Caipiroto, o capeta caipira 😈

Essa notícia e a da Boa Vista me deixaram aqui com uma dúvida. Essa epidemia de sinceridade por parte das lojas é espontânea, ou já estão se adiantando à lei de proteção de dados que está prestes a ser implantada?

Não muito tempo atrás (e não me referindo apenas ao caso do Banco Inter), me parece que o modus operandi padrão das empresas no Brasil era negar até sob tortura.