MP conclui que Boa Vista SCPC não sofreu vazamento; dados vieram de outra fonte

Investigação do MPDFT descobriu que Boa Vista (análise de crédito) não sofreu vazamento, mas os dados são reais

Felipe Ventura
• Atualizado há 3 anos
Foto por Werner Moser/Pixabay

O MPDFT (Ministério Público do Distrito Federal e Territórios) concluiu que a Boa Vista SCPC foi invadida em setembro mas não sofreu vazamento de dados pessoais, após uma investigação que durou quase dois meses. A empresa atua no setor de análise de crédito, concorrendo com Serasa e SPC. Os dados são reais, mas vêm de outra fonte.

Frederico Meinberg, que coordena a Comissão de Proteção de Dados Pessoais do MPDFT, escreve em relatório que “os dados pessoais supostamente obtidos durante o ataque são oriundos de outra fonte e não do Boa Vista”.

Então de onde vieram esses dados? Foi de outra fonte que o MP não revela, por se tratar de informação sigilosa. No entanto, a investigação descobriu que eles são idênticos aos dados que constam de outra base, “sendo que este tipo de similaridade não é comum”.

Não há como ser coincidência: alguns campos, como o número do logradouro, são sempre iguais. Por exemplo, é comum observar abreviaturas diferentes — como “ap”, “apt” e “apto” — ao comparar duas bases de dados. O inquérito civil público do MP foi arquivado em 31 de outubro.

Hackers invadiram servidor de testes da Boa Vista SCPC

Vale notar que a Boa Vista foi, sim, invadida no início de setembro. O coletivo hacker Fatal Error Crew assumiu a responsabilidade. No entanto, trata-se de um servidor de desenvolvimento na nuvem, apenas para fins de testes — ele não tinha dados pessoais.

“O servidor se encontrava desativado e com a subscrição inativa”, explica Meinberg. A invasão explorou uma vulnerabilidade no Apache Struts, framework de código aberto para criar aplicações web em Java.

O MP também está investigando se a varejista de roupas C&A realmente vazou dados de 2 milhões de clientes, incluindo CPF e e-mail. A empresa diz que “sofreu um ciberataque no seu sistema de vale-presente/trocas”, mas não confirma o vazamento. A invasão também foi feita pelo Fatal Error Crew.

Com informações: MPDFT.

Responde

Autoridades são quem deve cuidar de casos de vazamento de dados; pessoas precisam redobrar a atenção para evitar golpes
O que fazer em caso de vazamento de dados pessoais?
Não queime a largada; um pequeno guia para criação de capas de slides, sem exageros, e à altura do seu projeto de pesquisa
Como fazer capa de slide nas normas da ABNT [Apresentação]
Sendo uma forma de garantir que os e-mails enviados são de sua pessoa e/ou organização, o SPF é muito importante no quesito proteção
O que é SPF do e-mail?
É importante saber em quais sites suas senhas foram vazadas para que você faça a troca e não corra o risco de perder a conta em serviços ou redes sociais
Como saber se seus dados de e-mail ou senha foram vazados na internet

Relacionados

Hacker suspeito de vazamento da Ticketmaster é preso
Trechos da vida pessoal expostos; saiba o que é doxxing, como surgiu e algumas dicas para evitar ao máximo o perigo
O que é doxxing?
Descubra como os hackers utilizam métodos simples para encontrar seus dados pessoais, e com eles, aplicar golpes de phishing
Como é fácil encontrar os seus dados e aplicar golpes de phishing
Alertas para golpes com cartão contactless são cada vez mais comuns, mas não há razão para pânico
Cartão por aproximação é seguro? Conheça vantagens do pagamento contactless

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.