Início / Notícias / Antivírus e Segurança /

MP conclui que Boa Vista SCPC não sofreu vazamento; dados vieram de outra fonte

Investigação do MPDFT descobriu que Boa Vista (análise de crédito) não sofreu vazamento, mas os dados são reais

Felipe Ventura

Por

Notícia
Achados do TB Achados do TB

As melhores ofertas,
sem rabo preso 💰

O MPDFT (Ministério Público do Distrito Federal e Territórios) concluiu que a Boa Vista SCPC foi invadida em setembro mas não sofreu vazamento de dados pessoais, após uma investigação que durou quase dois meses. A empresa atua no setor de análise de crédito, concorrendo com Serasa e SPC. Os dados são reais, mas vêm de outra fonte.

Foto por Werner Moser/Pixabay

Frederico Meinberg, que coordena a Comissão de Proteção de Dados Pessoais do MPDFT, escreve em relatório que “os dados pessoais supostamente obtidos durante o ataque são oriundos de outra fonte e não do Boa Vista”.

Então de onde vieram esses dados? Foi de outra fonte que o MP não revela, por se tratar de informação sigilosa. No entanto, a investigação descobriu que eles são idênticos aos dados que constam de outra base, “sendo que este tipo de similaridade não é comum”.

Não há como ser coincidência: alguns campos, como o número do logradouro, são sempre iguais. Por exemplo, é comum observar abreviaturas diferentes — como “ap”, “apt” e “apto” — ao comparar duas bases de dados. O inquérito civil público do MP foi arquivado em 31 de outubro.

Hackers invadiram servidor de testes da Boa Vista SCPC

Vale notar que a Boa Vista foi, sim, invadida no início de setembro. O coletivo hacker Fatal Error Crew assumiu a responsabilidade. No entanto, trata-se de um servidor de desenvolvimento na nuvem, apenas para fins de testes — ele não tinha dados pessoais.

“O servidor se encontrava desativado e com a subscrição inativa”, explica Meinberg. A invasão explorou uma vulnerabilidade no Apache Struts, framework de código aberto para criar aplicações web em Java.

O MP também está investigando se a varejista de roupas C&A realmente vazou dados de 2 milhões de clientes, incluindo CPF e e-mail. A empresa diz que “sofreu um ciberataque no seu sistema de vale-presente/trocas”, mas não confirma o vazamento. A invasão também foi feita pelo Fatal Error Crew.

Com informações: MPDFT.