Com 350 mi de dados de brasileiros, Boa Vista apura invasão por hackers
Nome completo, CPF e endereço estão na internet; empresa ainda não confirma vazamento
A Boa Vista SCPC, empresa que detém mais de 350 milhões de dados pessoais de brasileiros, investiga uma suposta invasão hacker ao seu banco de dados, que teria ocorrido no domingo (2).
A Boa Vista oferece a clientes serviços de análise de crédito e é uma das precursoras do cadastro positivo. Suas concorrentes são Serasa e SPC.
No domingo, o coletivo hacker Fatal Error publicou em um site que obteve acesso a dados da empresa.
Um arquivo indicado por um pesquisador à Folha mostra que os hackers conseguiram acessar dados pessoais que deveriam estar protegidos pela Boa Vista, como nome completo, endereço, identidade, data de nascimento e nome da mãe.
A empresa não confirma o ataque, mas três especialistas em segurança da informação reconhecem a invasão, em razão da reputação das pessoas envolvidas e por causa dos arquivos vazados na internet.
No site em que anunciou a intrusão digital, o coletivo se mostra ativista. A mensagem indaga o direito de a Boa Vista SCPC “possuir dados pessoais de todos os brasileiros, mesmo que eles não possuam dívidas”.
“Não postamos nenhuma informação, de nenhum brasileiro, pois prezamos pela privacidade dos mesmos. Porém, sugiro mudarem todas suas senhas logo”, diz.
O hacking, que é a capacidade de invadir um sistema de computador a partir de suas vulnerabilidades, pode ter sido feito por meio do acesso ao servidor da empresa, dizem os especialistas.
“Nas últimas semanas, foram divulgadas diversas falhas de aplicações que man- têm esses sites. O que pode ter acontecido é esse grupo ter usado as falhas para acessar os servidores. Muitos analistas de empresas ainda não fizeram as atualizações”, diz Igor Rincon, gerente de produto na Flipside, empresa ligada à conscientização do tema.
Os riscos decorrentes desse tipo de vazamento são muitos. O mais básico é o recebimento indesejado de email. Os mais perigosos são a possibilidade de a pessoa receber uma maior quantidade de vírus por email bem como fraudes baseadas na identidade.
No dia 14 de agosto, o governo sancionou a Lei Geral de Proteção de Dados Pessoais. Considerada um marco para a privacidade, a legislação passa a valer em 2020.
Caso a norma já estivesse em vigor e a Boa Vista confirmasse o vazamento, precisaria notificar o incidente à Agência Nacional de Proteção de Dados Pessoais.
Essa autoridade ainda precisa ser proposta por meio de outra iniciativa legislativa. Na época da aprovação, o presidente Michel Temer sinalizou que o governo acharia uma solução, mas ainda não houve movimento nesse sentido.
“Possivelmente com a evolução do caso, o Ministério Público deve atuar na proteção desses dados afetados. Do ponto de vista individual, muito pouco pode ser feito pelo cidadão comum, uma vez o vazamento é imutável”, diz Sandro Süffert, presidente da Apura Cybersecurity Intelligence, empresa de segurança cibernética.
Por meio de nota, a Boa Vista SCPC disse que regularmente audita, protege e analisa eventuais comunicações relacionadas à sua atividade.
Também informa que está “diligenciando para apurar a origem e extensão do possível incidente” e que, “se for o caso, adotará todas as medidas técnicas e legais pertinentes”.