Notícias Antivírus e Segurança

Exclusivo: Hackers vendem “vazamento do Habib’s” com dados de 3 milhões de clientes

Dois tópicos em fórum oferecem dados do Habib's para venda; Serasa notifica clientes, e site que lista vazamentos identifica incidente

Giovanni Santa Rosa
Por

As melhores ofertas,
sem rabo preso

Duas threads em um fórum de venda de dados oferecem informações que seriam provenientes da rede de fast food Habib’s. Em ambas, o conjunto de informações supera a marca de 3 milhões de clientes. O vazamento também consta em uma listagem pública e foi notificado a clientes da Serasa.

Restaurante da rede Habib's em São Paulo
Restaurante da rede Habib’s em São Paulo (Imagem: Divulgação/Habib’s)

A dica chegou ao Tecnoblog por meio de um e-mail do leitor Eric. Ele relata ter recebido uma notificação da Serasa sobre vazamento de informações pessoais: CPF, endereço, e-mail e telefone.

O ReclameAqui tem mais de uma dezena de casos parecidos. Os clientes contam que foram alertados pelo bureau de crédito, que oferece um serviço de monitoramento de informações pessoais. O Habib’s não respondeu nenhum dos chamados na plataforma.

Procurada, a Serasa não deu mais detalhes sobre como identificou que esses dados estavam na dark web, informação que consta nas notificações enviadas aos clientes. O Tecnoblog fez uma pesquisa e encontrou mais alguns indícios desse vazamento.

Dados são vendidos em fóruns de criminosos

Encontramos duas threads oferecendo dados do Habib’s em um fórum de compra e venda de informações de vazamentos.

Em uma delas, o usuário oferece dois arquivos. Um deles teria como fonte o aplicativo mobile, enquanto os dados do outro seriam do back-end do sistema web. Ao todo, os dois somariam 1,8 GB e teriam informações de mais de 3,5 milhões de usuários.

Em uma pequena amostra, o usuário exibe as colunas que estariam na base de dados:

  • id
  • avatar
  • nome
  • email
  • nascimento
  • tipo_publico
  • plataforma
  • facebook
  • apple_id
  • cpf
  • telefone
  • device_id
  • ip
  • conta_id
  • usuario_id
  • time
  • endpoint
  • aparelho
  • senha
  • genero
  • fidelizado
  • ofertas_email
  • ofertas_sms
  • origem
  • pontuou
  • usou_pontos_habibers
  • telefone2
Hacker — imagem ilustrativa (imagem: B_A/Pixabay)
Hacker — imagem ilustrativa (imagem: B_A/Pixabay)

Na mesma thread, outro usuário responde que não há senhas no banco de dados — em todas as entradas, o campo está vazio ou é nulo. Os dois links fornecidos estão quebrados, e o tópico foi movido para a área de bases removidas.

Em outra thread, um usuário diferente tenta vender um conjunto de 3 milhões de dados do Habib’s. A base teria como foco informações de endereço, como segmento, logradouro, bairro, cidade e UF.

Vazamento consta em site que lista incidentes

O serviço da Serasa parece não ter sido o único a perceber que havia uma venda de dados da rede de fast food rolando por aí. O Leak-Lookup, site que lista vazamentos, também tem informações sobre o incidente.

Restaurante do Habib's
Restaurante do Habib’s (Imagem: Wikimedia Commons/Panoramio)

A informação cadastrada aponta mais de 3,9 milhões de entradas, com colunas como e-mail, nome completo, endereço IP, telefone e identificação do usuário — aqui, pelo menos, não há CPF e endereço.

Nenhum dos vazamentos parece conter senhas, ao menos aparentemente. Mesmo assim, o leitor Eric afirma que seu gerenciador de senhas também alertou que a do Habib’s havia sido comprometida. No meu caso, ela ainda consta como segura, mas não funciona mais no site, apenas no aplicativo.

O que diz o Habib’s

Em resposta ao Tecnoblog, o Habib’s enviou o seguinte posicionamento:

O Grupo Habib’s reafirma o seu compromisso com a segurança de dados dos seus consumidores e informa que atua conforme as normas e políticas estabelecidas pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), implementando rígidos protocolos e padrões de segurança para garantir um ambiente íntegro e protegido em todos os seus canais digitais.

A companhia esclarece que tomou conhecimento dos fatos e prontamente realizou a verificação de seus sistemas, não tendo identificado indícios de risco para os usuários.

O Grupo ressalta que está à disposição para mais informações via seus canais de atendimento.

Vale lembrar que a Lei Geral de Proteção de Dados (LGPD) determina, em seu Artigo 48, que incidentes desse tipo devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD), órgão encarregado de investigar episódios assim e aplicar as penalidades.

Vamos acompanhar os desdobramentos dessa história para ver se ela realmente procede e se não vai acabar em pizza — ou melhor, em esfiha.

Atualizado às 11h54 do dia 12/11 com o posicionamento do Habib’s.

Colaborou: Felipe Ventura.

Giovanni Santa Rosa

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Mais Populares

Responde

Relacionados

Em destaque