Exclusivo: Cinemark admite invasão de contas de usuários
Na semana passada, relatos de cliente no Reclame Aqui informavam que seus emails e CPFs foram trocados no app; invasões ocorriam desde abril
Na semana passada, relatos de cliente no Reclame Aqui informavam que seus emails e CPFs foram trocados no app; invasões ocorriam desde abril
A Cinemark admitiu que alguns clientes tiveram suas contas invadidas. Nas últimas semanas, consumidores da rede de cinemas relataram que emails, senhas e CPFs foram trocados no app da empresa. Eles também não conseguiram recuperar os perfis, de acordo com queixas publicadas na internet.
O Tecnoblog teve acesso ao email disparado pela Cinemark nesta segunda-feira (23). A empresa confirma que houve uma invasão às contas e que a vulnerabilidade existia desde abril. Ela também explica que os ataques não foram causados pela divulgação de dados do seu sistema. É possível que agentes maliciosos tenham se utilizado vazamentos anteriores para acessar contas dentro da plataforma.
Os clientes da Cinemark relataram que os seus emails e CPFs foram modificados no aplicativo da empresa. Ao trocar os dois dados, os cibercriminosos impediam a recuperação das contas. Sem o CPF correto, os usuários não podem recuperar o email usado para criar a conta.
A Cinemark não chega a explicar a vulnerabilidade aberta em abril. A causa pode ser a ausência de uma etapa de verificação no pedido de troca de emails. Um cliente ouvido pelo Tecnoblog disse que nunca recebeu emails informando sobre mudanças na conta – nem mesmo na caixa de spam.
Hoje em dia é comum que sites, apps e plataformas mandem emails quando registram mudanças relevante nas contas do usuários, mas isso não parece ter ocorrido na Cinemark. Essa é uma etapa importante para evitar que cibercriminosos roubem o perfil. Em alguns serviços, somente o acesso ao link de confirmação permite que você troque o e-mail, senha ou outras informações pessoais. A Cinemark informa no email aos clientes que a vulnerabilidade foi corrigida.
A Cinemark sugere que os usuários se mantenham vigilantes e monitorem possíveis golpes. A empresa recomenda que eles fiquem atentos a casos de phishing e ligações suspeitas, alguns dos meios que permitem que cibercriminosos roubem dados.
A empresa diz não acreditar que houve alguma consequência séria desse caso de invasão. No entanto, se você foi um dos clientes afetados, é importante verificar se há compras não reconhecidas no seu cartão de crédito — principalmente de ingresso para os cinemas da Cinemark.
Em resposta ao Tecnoblog, a Cinemark enviou a seguinte nota:
A Cinemark confirma que agentes externos, munidos de CPF e e-mail de clientes obtidos por outros meios que não através da Cinemark, tiveram acesso a poucas contas de forma fraudulenta. A Rede já suspendeu o acesso às contas identificadas, comunicou a Agência Nacional de Proteção de Dados (ANPD) e está em processo de comunicação e solução da questão junto aos titulares afetados, não vislumbrando qualquer impacto relevante decorrente deste evento.
Leia | Teve o Spotify hackeado? Saiba como recuperar sua conta