Hacker põe à venda dados de brasileiros atribuídos ao Athletico Paranaense e à plataforma de educação Geekie
Publicado em 06/11/2020 , por Altieres Rohr
Pacotes de 17 sites – entre os quais há dois brasileiros – possuem 34 milhões de registros. Dados como nomes, senhas e CPFs foram expostos, segundo a oferta.
Um conhecido vendedor de dados roubados colocou à pacotes com registros de 17 organizações e sites. Dois pacotes foram atribuídos a marcas brasileiras: o menor deles, com 162 mil registros, é do Athletico Paranaense, enquanto o maior – com mais de 8 milhões de registros – é atribuído à Geekie, uma plataforma de educação e consultoria pedagógica que diz já ter atendido 12 milhões de alunos.
Para comprovar a autenticidade da oferta, o hacker publicou "amostras" com pequenos recortes das informações roubadas. Os dados, de acordo com o vendedor, incluem nomes, CPFs, datas de nascimento e números de telefone.
No caso do Athletico Paraense, não há número de telefone, mas as senhas no banco de dados estavam protegidas com a tecnologia MD5, a mesma encontrada no banco de dados do LinkedIn, vazado em 2012.
Essa proteção é considerada defasada, e as senhas protegidas com ela devem ser trocadas imediatamente. Também há informações sobre a escolaridade de alguns usuários cadastrados.
Além dos dados brasileiros, os outros 15 pacotes trazem informações extraídas de sites dos Estados Unidos, México, Reino Unido, Alemanha, Egito, Tailândia, Índia, Indonésia, Itália, Vietnã, Cingapura e Hong Kong.
O que dizem a Geekie e o Athletico
Ao blog, a Geekie informou estar "tomando todas as previdências cabíveis, como a contratação de apoio especializado técnico e jurídico".
A companhia também se comprometeu a comunicar o caso a todos os possíveis usuários afetados e ressaltou que "nenhum dado relacionado à aprendizagem dos estudantes foi exposto". Um endereço de e-mail (compliance@geekie.com.br) foi disponibilizado para responder dúvidas.
"Tratamos os dados dos nossos usuários com absoluto zelo e trabalhamos continuamente para aperfeiçoar a segurança dessas informações de forma a inibir ataques criminosos dessa natureza", diz a nota da Geekie.
O Athletico Paranaense, após ser procurado pelo blog, publicou um comunicado em seu site, mas não respondeu se as pessoas que tiveram suas informações vazadas serão comunicadas individualmente.
O clube informou que a invasão ocorreu em 2018 e que "mudou a maneira como são feitos o armazenamento e o tratamento de dados, demandando esforços e investimentos constantes para garantir a máxima segurança da informação, sempre aliado com as melhores práticas e conformidades com a Lei n. 13.709/2018 – LGPD".
Embora o vendedor e o clube aleguem que a invasão ocorreu em 2018, há referências ao ano de 2019 na amostra de dados publicada.
Lei Geral de Proteção de Dados
A Lei Geral de Proteção de Dados no Brasil (LGPD) entrou em vigor no dia 18 de setembro após diversos adiamentos. A legislação estabelece regras e punições para o tratamento de dados realizado para diversas finalidades, inclusive pelo próprio governo, por empresas e para fins acadêmicos.
A aplicação das multas ligadas à LGPD está suspensa até agosto 2021 para permitir a estruturação da Agência Nacional de Proteção de Dados (ANPD), o órgão fiscalizador criado para garantir o cumprimento da lei. Segundo a lei, essas multas podem chegar a R$ 50 milhões.
De acordo com a lei, "o controlador [pessoa natural ou jurídica responsável pelos dados] deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares".
Fonte: G1 - 04/11/2020
Notícias
- 26/11/2024 IPCA-15 sobe 0,62% em novembro, aponta IBGE
- Carrefour: entenda o caso e o que está em jogo
- Como evitar as compras por impulso e os gastos exagerados no Natal e fim de ano? Veja dicas
- Black Friday: Procon-SP já registrou mais de mil reclamações
- Economia do pente fino nos benefícios do INSS neste ano caiu para R$ 5,5 bi, diz Clayto Montes
- Novos processos seletivos do SEST SENAT oferecem vagas em diversas cidades
- Uber é condenado a indenizar passageira por acidente causado durante a viagem
Perguntas e Respostas
- Quanto tempo o nome fica cadastrado no SPC, SERASA e SCPC?
- A consulta ao SPC, SERASA ou SCPC é gratuita?
- Saiba quais os bens não podem ser penhorados para pagar dívidas
- Após quantos dias de atraso o credor pode inserir o nome do consumidor no SPC ou SERASA?
- Protesto de dívida prescrita é ilegal e dá direito a indenização por danos morais
- Como consultar SPC, SERASA ou SCPC?
- ACORDO - Em caso de acordo, após o pagamento da primeira parcela o credor é obrigado a tirar o nome do devedor dos cadastros de SPC e SERASA ou pode mantê-lo cadastrado até o pagamento da última parcela?
- CHEQUE – Não encontro à pessoa para qual passei um cheque que voltou por falta de fundos. O que posso fazer para pagar este cheque e regularizar minha situação?
- Problemas com dívidas? Dicas para você não entrar em desespero
- PROTESTO - Qual o prazo para o protesto de um cheque, nota promissória ou duplicata? O protesto renova o prazo de prescrição ou de inscrição no SPC e SERASA?
- O que o consumidor pode fazer quando seu nome continua incluído na SERASA ou no SPC após o pagamento de uma dívida ou depois de 5 anos?
- Cartão de Crédito: Procedimentos em caso de perda, roubo ou clonagem
- Posso ser preso por dívidas ?
- SPC e SERASA, como saber se seu nome está inscrito?
- Acordo – Paga a primeira parcela nome deve ser excluído dos cadastros negativos (SPC, SERASA, etc)