Mercado Livre é notificado pelo Procon de SP e do Rio por vazamento de dados
Procons de São Paulo e Rio de Janeiro exigem que Mercado Livre forneça mais informações sobre dados vazados durante incidente; órgão do RJ aponta “falta de informação”
O Procon-SP e o Procon Carioca notificaram o Mercado Livre pelo vazamento de dados de 300 mil usuários do marketplace. Em nota enviada à varejista, os dois órgãos pró-consumidor fizeram uma série de perguntas para esclarecer quais e que tipo de informações foram vazadas, assim como quais são as medidas de proteção de dados adotadas pela empresa para prevenir futuros incidentes.
O Mercado Livre confirmou a ocorrência de um vazamento de dados em documento enviado a investidores na última segunda-feira (7). Na carta, a companhia alegou que “ativou os protocolos de segurança” e está efetuando uma “análise exaustiva”.
Em outro trecho do documento, o Mercado Livre deixou claro que não encontrou evidências de que “senhas, saldos de contas, investimentos, informações financeiras ou numerações de cartão de crédito” tinham sido vazados.
O Procon-SP exige que o Mercado Livre informe quando detectou o vazamento, quais serviços prestados estão envolvidos no incidente e quantos clientes foram afetados. A varejista também deve prestar informações sobre o número de transações e operações que sofreram ou ainda estão sofrendo impactos com o ocorrido.
A companhia deverá esclarecer se seu banco de dados foi comprometido, explicando quais informações específicas foram vazadas. O Procon-SP ainda exige que o Mercado Livre explique quais as providências e protocolos de segurança utilizados, quantas reclamações foram registradas nos canais da empresa e quantos clientes foram redirecionados para o atendimento.
Na lista de demandas do Procon-SP ao Mercado Livre, está a comprovação de medidas de segurança técnica e administrativa previstas na LGPD (Lei Geral de Proteção de Dados). Isso inclui a proteção de dados contra acessos não autorizados ou qualquer forma de tratamento inadequado e ilícito, como destruição, alteração perda e comunicação de informações pessoais.
“A empresa deverá também esclarecer se tem um encarregado de dados nomeado e se realizou treinamento dos seus colaboradores sobre a aplicação da LGPD**”,** afirma o Procon-SP em nota. O Mercado Livre tem até amanhã, sexta-feira (11), para responder à notificação do órgão paulista.
Mercado Livre não prestou esclarecimento, diz Procon
Já o Procon Carioca nota que o Mercado Livre não prestou nenhuma informação aos consumidores em geral, e que “tampouco divulgou nota à imprensa” sobre o vazamento de dados. “Dessa forma, não se sabe em que medida os dados dos consumidores foram afetados”, alega a entidade em comunicado. Leonardo Gomes, gerente de fiscalização do Procon do Rio, disse:
“Considerando que a plataforma do Mercado Livre é visitada diariamente por milhares de pessoas e com objetivo de apurar eventual violação aos direitos dos consumidores, o Procon Carioca instaurou averiguação preliminar e requisitou esclarecimentos.”
As perguntas feitas pelo Procon Carioca ao Mercado Livre são semelhantes às do Procon-SP. A entidade quer saber sobre identificação dos dados vazados, quantidade de consumidores afetados, e se o time de funcionários da varejista recebeu treinamento de acordo com a LGPD, entre outras informações. O prazo dado à empresa para o envio de respostas, entretanto, é maior: até a próxima segunda-feira (14).
Grupo hacker Lapsus$ reivindica autoria do vazamento
Apesar de a empresa não ter entrado em detalhes sobre o vazamento de dados, o grupo Lapsus$ reivindicou a autoria do incidente. Em seu canal do Telegram, a organização hacker fez uma enquete, e um dos itens era um repositório de informações que supostamente pertencia ao Mercado Livre.
Não há evidências concretas que liguem o Lapsus$ ao vazamento. Contudo, não seria a primeira vez que o grupo ataca organizações com sede no Brasil. Ele também é responsável por tirar o site do ConecteSUS, do Ministério da Saúde, do ar.
Além disso o Lapsus$ já fez ataques contra a Nvidia, Samsung e Claro. Em todas essas operações, o grupo hacker roubou dados e exigiu algo em troca, como uma espécie de “resgate”.