marcialwushu
commented
6 years ago Boa Vista SCPC pode ter vazado dados de milhões de brasileiros
Empresa de análise de crédito investiga se foi hackeada; ela tem CPF, endereço e histórico financeiro de milhões de pessoas
Por Felipe Ventura 03/09/2018 às 17h35
A Boa Vista SCPC (Serviço Central de Proteção ao Crédito), empresa de análise de crédito que concorre com Serasa e SPC, está investigando se foi invadida por hackers na noite de domingo (2). Ela tem 350 milhões de dados pessoais de brasileiros, incluindo CPF, endereço e informações de histórico financeiro.
A empresa não confirma o ataque, mas três especialistas ouvidos pela Folha acreditam que ela foi mesmo invadida. O coletivo hacker Fatal Error Crew assumiu a responsabilidade, dizendo que conseguiu acessar a base de dados da Boa Vista.
“Sugiro mudarem todas suas senhas logo”
“Não postamos nenhuma informação de nenhum brasileiro, pois prezamos pela privacidade dos mesmos. Porém, sugiro mudarem todas suas senhas logo”, disse o coletivo no Pastebin (a mensagem foi removida). Os hackers acreditam que a Boa Vista não deveria possuir “dados pessoais de todos os brasileiros, mesmo que eles não possuam dívidas”.
A mensagem ainda faz referência à campanha do presidenciável Ciro Gomes, que promete quitar dívidas de consumidores no SPC (Serviço de Proteção ao Crédito) com o projeto Nome Limpo. “Ciro Gomes, só dizer que noix tira o nome de todo mundo do SPC”, escreve o coletivo.
Igor Rincon, da empresa de segurança da informação Flipside, acredita que os hackers usaram falhas recentemente divulgadas para invadir os servidores da empresa. Se ela não instalou as atualizações mais recentes, pode ter ficado vulnerável.
Lei de dados pessoais aplicará multa de até R$ 50 milhões
A Lei Geral de Proteção de Dados Pessoais obrigaria a Boa Vista a notificar a ANPD (Autoridade Nacional de Proteção de Dados) sobre a invasão. Existem várias punições possíveis, desde uma advertência até multa equivalente a 2% do faturamento, limitada a R$ 50 milhões. No entanto, a lei só entra em vigor em 2020; e essa agência ainda precisa ser criada.
Em comunicado, a Boa Vista diz que está trabalhando para “apurar a origem e extensão do possível incidente”. Se confirmar a invasão, ela promete adotar “todas as medidas técnicas e legais pertinentes”.
Esta é a mensagem original do coletivo Fatal Error Crew:
BoaVista SCPC me tira uma dúvida quem autoriza vcs a possuirem os dados pessoais de todos brasileiros mesmo que eles não possuam dívidas? Vcs não acham errado isso? Ainda mais lucrarem com os dados pessoais de todos brasileiros.
Não postamos nenhuma informação de nenhum brasileiro pois prezamos pela privacidade dos mesmos porém sugiro mudarem todas suas senhas logo, não se enganem estamos de olhos em todos seus bancos de dados faz alguns anos.
Ciro Gomes, só dizer que noix tira o nome de todo mundo do SPC.
Com informações: Folha.
Um novo dia, um novo leak. Ao longo da semana passada, todos os holofotes se mantiveram sobre a bureau de crédito Boa Vista SCPC, que foi vítimas de dois ataques consecutivos — um pelo Fatal Error Crew (mesmo grupo responsável pelo caso C&A) e outro por um internauta identificado simplesmente como unnamed. Dentre prints e pastes que visavam provar a invasão, podemos destacar um documento que vazou dados cadastrais sensíveis e score de crédito de milhões de cidadãos brasileiros.
Em entrevista à The Hack, unnamed afirmou que a Boa Vista SCPC possuía uma API aberta para revender os dados para seus clientes. “A exploração foi feita seguindo o princípio de enumeração de usuários: você coloca um ID e a mágica acontece”, explicou. unnamed afirma ainda que o acesso já foi desativado, mas, mesmo assim, cerca de 3 milhões de pessoas podem ter sido afetadas pela falha. Outros especialistas acreditam que o problema esteja relacionado com a falha CVE 2018-11776 encontrada no Apache Struts 2.
Procuramos a Boa Vista para comentar sobre o caso e a companhia confirmou que estava investigando “a origem a extensão de um possível incidente” cibernético. “Com relação à denúncia sobre determinado servidor, informa que também, como de praxe, está analisando tais fatos e, se for o caso, adotará todas as medidas técnicas e legais pertinentes”, conclui a marca.
Well, quem já está tomando as medidas legais pertinentes é a Comissão de Proteção de Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT), que, como sempre, foi ágil em anunciar um inquérito para apurar o vazamento. “A investigação objetiva esclarecer as circunstâncias do suposto incidente de segurança”, anunciou o promotor Frederico Meinberg.