O Ministério Público do Distrito Federal e Territórios (MPDFT) obteve acesso a duas listas de credenciais vazadas da Netshoes, contendo informações sobre 1.999.704 contas. Os dados incluem nome completo, e-mail, CPF, data de nascimento, entre outros.
Segundo o MPDFT, este é “um dos maiores incidentes de segurança registrados no Brasil”, e por isso está recomendando à Netshoes que entre em contato com os clientes afetados.
O ministério pede que a empresa envie carta com aviso de recebimento (AR), ou faça uma ligação, avisando que os seguintes dados pessoais foram comprometidos:
- nome do cliente;
- CPF;
- e-mail;
- data de nascimento;
- número do pedido;
- valor do produto;
- data de compra do produto;
- forma de pagamento (cartão ou boleto; dados de cartão de crédito não foram expostos);
- código de referência do produto.
Caso a Netshoes não faça isso, o MPDFT vai abrir uma ação civil pública por danos morais e materiais causados aos consumidores.
O ministério diz que a Netshoes até entrou em contato com alguns clientes afetados, mas apenas enviando um e-mail genérico sobre segurança — medida que foi descrita como “insuficiente”.
O órgão também pede que a empresa não faça qualquer tipo de pagamento à pessoa que vazou os dados, “seja na forma de moeda física ou de criptomoeda”, sob pena de crime de fraude processual. A Netshoes sofreu tentativa de extorsão, diz o MPDFT, e a Polícia Federal recebeu um requerimento para abrir uma investigação e identificar os responsáveis.
O incidente afetou servidores públicos politicamente expostos, dado que os e-mails vazados incluem domínios da Presidência da República (@presidencia.gov.br), Supremo Tribunal Federal (@stf.jus.br), Polícia Federal (@dpf.gov.br), Câmara dos Deputados (@camara.leg.br), entre outros. O MPDFT abriu um Inquérito Civil Público para investigar o vazamento.
A recomendação foi elaborada pela Comissão de Proteção dos Dados Pessoais do MPDFT. Criada em novembro de 2017, trata-se da “primeira iniciativa brasileira que trata exclusivamente da proteção da privacidade e dos dados pessoais”.
A Netshoes tem três dias úteis para dar uma resposta ao MPDFT.
Em comunicado ao Tecnoblog, a empresa diz:
A Netshoes comunica que, após minuciosa apuração interna – que contou com apoio de empresa especializada em segurança digital e comunicação à Polícia Federal desde o início do caso – chegou-se à conclusão, em linha com comunicados anteriores da companhia, de que não há qualquer indício de invasão à sua estrutura tecnológica.
Desde o primeiro momento em que foi noticiado o vazamento das informações – cuja origem segue sendo investigada -, todas as providências jurídicas e tecnológicas cabíveis foram tomadas. Durante todo o processo, o objetivo foi solucionar o crime virtual, não ceder a qualquer extorsão e proteger seus consumidores.
A empresa reforça que adota todas as medidas e melhores práticas de segurança da informação e que não negocia, nem nunca negociará, com criminosos.
E, por fim, a Netshoes informa que confia nas autoridades competentes para a identificação do autor do ato ilícito.