Dados de 229 milhões de usuários do Deezer foram expostos na web

Vazamento do Deezer revela data de nascimento, endereços de e-mail, IP e demais informações pessoais de brasileiros e pessoas de outros países

Bruno Gall De Blasi
Por

O ano começou com más notícias aos usuários do Deezer. Nesta segunda-feira (2), o Have I Been Pwned notificou um vazamento de dados que atingiu 229 milhões de contas da plataforma de streaming de músicas, afetando brasileiros e pessoas de outros países. As informações, incluindo data de nascimento, e-mail e endereço IP, partem de um arquivo de backup exposto em 2019.

Deezer
Deezer (Imagem: Vitor Pádua / Tecnoblog)

O alerta foi distribuído aos atingidos na madrugada desta segunda-feira (2).

De acordo com a notificação, em 22 de abril de 2019, a plataforma de streaming foi vítima de um vazamento de dados, mas o caso só foi reconhecido no fim de 2022.

“A violação remonta a um backup de meados de 2019 exposto a partir de um parceiro terceirizado que foi posteriormente vendido e amplamente redistribuído em um popular fórum de hackers”, diz a descrição do leak.

Ao todo, a exposição atingiu 229.037.936 contas de várias nacionalidades.

A lista de informações comprometidas engloba dados pessoais de diversas naturezas. É o caso das datas de nascimento, nomes e nomes de usuários do Deezer.

Os endereços de e-mail, IP, idiomas falados e localização geográfica (cidade e país) também foram expostos.

Notificação do Have I Been Pwned aos usuários do Deezer (Imagem: Reprodução/Tecnoblog)
Notificação do Have I Been Pwned aos usuários do Deezer (Imagem: Reprodução/Tecnoblog)

Dados de brasileiros foram expostos

Outros detalhes foram reportados pelo RestorePrivacy em dezembro. De acordo com o site especializado, as informações, que pesam 60 GB, estão disponíveis em um fórum desde novembro de 2022.

Os brasileiros aparecem entre boa parte dos atingidos. Segundo o relato, 37,1 milhões de contas afetadas pelo vazamento foram registradas no Brasil. Mas o país segue em segundo lugar, atrás apenas da França, que teve 46,2 milhões de perfis atingidos.

Diante da situação, o Deezer emitiu um comunicado em uma página de suporte: “fomos informados de que um de nossos parceiros sofreu uma violação de dados em 2019 e um snapshot das informações não confidenciais de nossos usuários foi exposta”, anunciaram.

Ainda conforme o comunicado, o fornecedor não trabalha mais com a plataforma de streaming desde 2020.

“Os sistemas de segurança da Deezer permanecem eficazes e nossos próprios bancos de dados são seguros”, ressaltaram

Deezer (Imagem: Freestockorg/Pexels)
Deezer (Imagem: Freestockorg/Pexels)

Vazamento está entre os maiores dos últimos anos

O responsável pelo Have I Been Pwned, Troy Hunt, fez algumas considerações sobre o caso em seu perfil do Twitter nesta segunda-feira (2).

Segundo o pesquisador de segurança, este é o maior vazamento reportado pela plataforma desde os números de telefone do Facebook raspados em abril de 2021. Na sequência de tweets, Hunt observou que houve um relato sobre falhas de segurança no Deezer, partindo de um analista de segurança:

“Curiosamente, ao examinar meus registros sobre este caso, encontrei um tweet do final de 2019 sobre uma possível violação de segurança”, afirmou. “Este é um cara de segurança da informação, mas suas datas podem não estar alinhadas, pois o carimbo de data/hora mais recente que encontrei nos dados foi abril de 2019.”

De fato, o tweet citado foi publicado em dezembro de 2019. Enquanto isso, os registros do vazamento apontam para abril de 2019.

Mesmo assim, o analista Elliot Reynolds alertou ao Deezer que encontrou suas credenciais “despejadas online em texto simples”. Felizmente, a plataforma de streaming respondeu logo em seguida: “obrigado pelo seu feedback, vou repassá-lo para a equipe responsável”.

Só não sabemos se o problema foi, de fato, resolvido.

Deezer App (Imagem: André Fogaça/Tecnoblog)
Deezer App (Imagem: André Fogaça/Tecnoblog)

O Deezer pode ser penalizado pelo vazamento?

Procurado pelo Tecnoblog, o sócio da área de Proteção de Dados do FAS Advogados, Danilo Roque, explicou que as penalidades previstas pela LGPD começaram a vigorar apenas em 2021. Portanto, como o incidente aconteceu em 2019, “o Deezer não estaria sujeito às sanções da legislação de proteção de dados”.

Todavia, isto não significa que a empresa está imune à possíveis penalizações. Roque afirmou que, caso algum usuário tenha sofrido prejuízos por conta do vazamento, poderá buscar indenizações.

Todavia, o dano, ainda que moral, precisa ser realmente comprovado.

“Não podemos esquecer, contudo, que, como estamos falando de uma relação de consumo”, concluiu. “Existe a possibilidade de o Deezer vir a ser autuado com base no Código de Defesa do Consumidor (CDC).”

O que diz o Deezer?

Procurado pelo Tecnoblog, o Deezer confirmou o vazamento, mas ressaltou que nenhum dado sensível foi exposto. Confira o posicionamento na íntegra:

“O vazamento aconteceu quando um parceiro, com o qual não trabalhamos desde 2020, sofreu uma violação de dados. Contudo, nenhuma informação sensível, como senhas e CPFs, foi exposta. Nosso banco de dados continua seguro. Mas sempre recomendamos que os usuários atualizem suas senhas regularmente, para manter seus dados ainda mais seguros”, explicaram.

Atualizado às 14h41 para incluir o posicionamento do Deezer.

Relacionados

Relacionados