Exclusivo: Hackers vendem “vazamento do Habib’s” com dados de 3 milhões de clientes
Dois tópicos em fórum oferecem dados do Habib's para venda; Serasa notifica clientes, e site que lista vazamentos identifica incidente
Dois tópicos em fórum oferecem dados do Habib's para venda; Serasa notifica clientes, e site que lista vazamentos identifica incidente
Duas threads em um fórum de venda de dados oferecem informações que seriam provenientes da rede de fast food Habib’s. Em ambas, o conjunto de informações supera a marca de 3 milhões de clientes. O vazamento também consta em uma listagem pública e foi notificado a clientes da Serasa.
A dica chegou ao Tecnoblog por meio de um e-mail do leitor Eric. Ele relata ter recebido uma notificação da Serasa sobre vazamento de informações pessoais: CPF, endereço, e-mail e telefone.
O ReclameAqui tem mais de uma dezena de casos parecidos. Os clientes contam que foram alertados pelo bureau de crédito, que oferece um serviço de monitoramento de informações pessoais. O Habib’s não respondeu nenhum dos chamados na plataforma.
Procurada, a Serasa não deu mais detalhes sobre como identificou que esses dados estavam na dark web, informação que consta nas notificações enviadas aos clientes. O Tecnoblog fez uma pesquisa e encontrou mais alguns indícios desse vazamento.
Encontramos duas threads oferecendo dados do Habib’s em um fórum de compra e venda de informações de vazamentos.
Em uma delas, o usuário oferece dois arquivos. Um deles teria como fonte o aplicativo mobile, enquanto os dados do outro seriam do back-end do sistema web. Ao todo, os dois somariam 1,8 GB e teriam informações de mais de 3,5 milhões de usuários.
Em uma pequena amostra, o usuário exibe as colunas que estariam na base de dados:
Na mesma thread, outro usuário responde que não há senhas no banco de dados — em todas as entradas, o campo está vazio ou é nulo. Os dois links fornecidos estão quebrados, e o tópico foi movido para a área de bases removidas.
Em outra thread, um usuário diferente tenta vender um conjunto de 3 milhões de dados do Habib’s. A base teria como foco informações de endereço, como segmento, logradouro, bairro, cidade e UF.
O serviço da Serasa parece não ter sido o único a perceber que havia uma venda de dados da rede de fast food rolando por aí. O Leak-Lookup, site que lista vazamentos, também tem informações sobre o incidente.
A informação cadastrada aponta mais de 3,9 milhões de entradas, com colunas como e-mail, nome completo, endereço IP, telefone e identificação do usuário — aqui, pelo menos, não há CPF e endereço.
Nenhum dos vazamentos parece conter senhas, ao menos aparentemente. Mesmo assim, o leitor Eric afirma que seu gerenciador de senhas também alertou que a do Habib’s havia sido comprometida. No meu caso, ela ainda consta como segura, mas não funciona mais no site, apenas no aplicativo.
Em resposta ao Tecnoblog, o Habib’s enviou o seguinte posicionamento:
O Grupo Habib’s reafirma o seu compromisso com a segurança de dados dos seus consumidores e informa que atua conforme as normas e políticas estabelecidas pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), implementando rígidos protocolos e padrões de segurança para garantir um ambiente íntegro e protegido em todos os seus canais digitais.
A companhia esclarece que tomou conhecimento dos fatos e prontamente realizou a verificação de seus sistemas, não tendo identificado indícios de risco para os usuários.
O Grupo ressalta que está à disposição para mais informações via seus canais de atendimento.
Vale lembrar que a Lei Geral de Proteção de Dados (LGPD) determina, em seu Artigo 48, que incidentes desse tipo devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD), órgão encarregado de investigar episódios assim e aplicar as penalidades.
Vamos acompanhar os desdobramentos dessa história para ver se ela realmente procede e se não vai acabar em pizza — ou melhor, em esfiha.
Atualizado às 11h54 do dia 12/11 com o posicionamento do Habib’s.
Colaborou: Felipe Ventura.