MP apura se C&A vazou dados pessoais de 2 milhões de clientes
C&A sofreu invasão no sistema de vale-presente, mas não confirma vazamento de dados como CPF e e-mail
A varejista de roupas C&A é alvo de um inquérito aberto pelo MPDFT (Ministério Público do Distrito Federal e Territórios). A Comissão de Proteção de Dados Pessoais quer saber se a loja realmente vazou dados de 2 milhões de clientes, incluindo CPF e e-mail.
O MPDFT abriu um procedimento administrativo para “acompanhar as consequências do incidente de segurança envolvendo a base de dados da empresa C&A”. O documento de 30 de agosto foi divulgado nesta segunda-feira (3).
O coletivo hacker Fatal Error Crew diz ao Tecmundo que invadiu o sistema de vale-presentes da C&A, e que obteve os seguintes dados: número do cartão, CPF, e-mail, valor adquirido, e-mail do funcionário que fez a transação, número do pedido e data da compra.
O hacker @j0shua publicou no Pastebin alguns desses dados. Segundo ele, foram expostos quatro milhões de pedidos, e estima-se que dois milhões de clientes foram afetados (alguns fizeram mais de um pedido).
No entanto, o coletivo Fatal Error Crew diz que não vai distribuir esses dados pessoais, “visto que não compactuamos com crimes financeiros”. Eles publicaram as informações de cartões-presente que “estavam na seção de devolução, portanto seriam descartados”.
Se a Lei Geral de Proteção de Dados Pessoais estivesse em vigor, a C&A teria que notificar a ANPD (Autoridade Nacional de Proteção de Dados) sobre a invasão. Ela poderia levar desde uma advertência até multa equivalente a 2% do faturamento, limitada a R$ 50 milhões. A lei só começa a valer em 2020.
Invasão após denúncia de abuso de dados na C&A
Por que o grupo invadiu os sistemas da C&A? É que algumas lojas estariam usando dados pessoais de candidatos a emprego para contratar, sem permissão, o cartão de crédito da loja. Seria uma forma de “bater a meta”. O hacker escreve: “já que vocês gostam de brincar com os dados dos outros, decidimos brincar um pouco com os seus sistemas”.
A C&A diz em comunicado à Agência Brasil que “sofreu um ciberataque no seu sistema de vale-presente/trocas na última semana e, tão logo identificou o ocorrido, acionou seu plano de contingência e notificou as autoridades competentes”.
A empresa confirma que recebeu o ofício e que vai responder às perguntas do MPDFT. Em relação à Lei de Proteção de Dados Pessoais, ela diz que “está atuando ativamente para se adequar à nova legislação brasileira sobre o tema que entrará em vigor em 2020”.
