Exclusivo: Hackers vendem “vazamento do Habib’s” com dados de 3 milhões de clientes

Dois tópicos em fórum oferecem dados do Habib's para venda; Serasa notifica clientes, e site que lista vazamentos identifica incidente

Giovanni Santa Rosa
• Atualizado há 1 ano e 1 mês

Duas threads em um fórum de venda de dados oferecem informações que seriam provenientes da rede de fast food Habib’s. Em ambas, o conjunto de informações supera a marca de 3 milhões de clientes. O vazamento também consta em uma listagem pública e foi notificado a clientes da Serasa.

A dica chegou ao Tecnoblog por meio de um e-mail do leitor Eric. Ele relata ter recebido uma notificação da Serasa sobre vazamento de informações pessoais: CPF, endereço, e-mail e telefone.

O ReclameAqui tem mais de uma dezena de casos parecidos. Os clientes contam que foram alertados pelo bureau de crédito, que oferece um serviço de monitoramento de informações pessoais. O Habib’s não respondeu nenhum dos chamados na plataforma.

Procurada, a Serasa não deu mais detalhes sobre como identificou que esses dados estavam na dark web, informação que consta nas notificações enviadas aos clientes. O Tecnoblog fez uma pesquisa e encontrou mais alguns indícios desse vazamento.

Dados são vendidos em fóruns de criminosos

Encontramos duas threads oferecendo dados do Habib’s em um fórum de compra e venda de informações de vazamentos.

Em uma delas, o usuário oferece dois arquivos. Um deles teria como fonte o aplicativo mobile, enquanto os dados do outro seriam do back-end do sistema web. Ao todo, os dois somariam 1,8 GB e teriam informações de mais de 3,5 milhões de usuários.

Em uma pequena amostra, o usuário exibe as colunas que estariam na base de dados:

  • id
  • avatar
  • nome
  • email
  • nascimento
  • tipo_publico
  • plataforma
  • facebook
  • apple_id
  • cpf
  • telefone
  • device_id
  • ip
  • conta_id
  • usuario_id
  • time
  • endpoint
  • aparelho
  • senha
  • genero
  • fidelizado
  • ofertas_email
  • ofertas_sms
  • origem
  • pontuou
  • usou_pontos_habibers
  • telefone2
Hacker — imagem ilustrativa (imagem: B_A/Pixabay)
Hacker — imagem ilustrativa (imagem: B_A/Pixabay)

Na mesma thread, outro usuário responde que não há senhas no banco de dados — em todas as entradas, o campo está vazio ou é nulo. Os dois links fornecidos estão quebrados, e o tópico foi movido para a área de bases removidas.

Em outra thread, um usuário diferente tenta vender um conjunto de 3 milhões de dados do Habib’s. A base teria como foco informações de endereço, como segmento, logradouro, bairro, cidade e UF.

Vazamento consta em site que lista incidentes

O serviço da Serasa parece não ter sido o único a perceber que havia uma venda de dados da rede de fast food rolando por aí. O Leak-Lookup, site que lista vazamentos, também tem informações sobre o incidente.

Restaurante do Habib's
Restaurante do Habib’s (Imagem: Wikimedia Commons/Panoramio)

A informação cadastrada aponta mais de 3,9 milhões de entradas, com colunas como e-mail, nome completo, endereço IP, telefone e identificação do usuário — aqui, pelo menos, não há CPF e endereço.

Nenhum dos vazamentos parece conter senhas, ao menos aparentemente. Mesmo assim, o leitor Eric afirma que seu gerenciador de senhas também alertou que a do Habib’s havia sido comprometida. No meu caso, ela ainda consta como segura, mas não funciona mais no site, apenas no aplicativo.

O que diz o Habib’s

Em resposta ao Tecnoblog, o Habib’s enviou o seguinte posicionamento:

O Grupo Habib’s reafirma o seu compromisso com a segurança de dados dos seus consumidores e informa que atua conforme as normas e políticas estabelecidas pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), implementando rígidos protocolos e padrões de segurança para garantir um ambiente íntegro e protegido em todos os seus canais digitais.

A companhia esclarece que tomou conhecimento dos fatos e prontamente realizou a verificação de seus sistemas, não tendo identificado indícios de risco para os usuários.

O Grupo ressalta que está à disposição para mais informações via seus canais de atendimento.

Vale lembrar que a Lei Geral de Proteção de Dados (LGPD) determina, em seu Artigo 48, que incidentes desse tipo devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD), órgão encarregado de investigar episódios assim e aplicar as penalidades.

Vamos acompanhar os desdobramentos dessa história para ver se ela realmente procede e se não vai acabar em pizza — ou melhor, em esfiha.

Atualizado às 11h54 do dia 12/11 com o posicionamento do Habib’s.

Colaborou: Felipe Ventura.

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.