Boa Vista SCPC apura invasão de hackers a base com informações de milhões de brasileiros

Em nota, a Boa Vista SCPC informa que regularmente audita, protege e analisa eventuais comunicações relacionadas à sua atividade

Escrito por Folhapress ,

A Boa Vista SCPC, birô de crédito que detém dados pessoais de milhões de brasileiros, investiga uma invasão por hackers que teria ocorrido na noite de domingo.  A Boa Vista é uma empresa de análise de crédito, cujos principais concorrentes são Serasa e SPC.

Apesar de a empresa não ter confirmado o ataque, três especialistas em segurança da informação consultados pela reportagem dizem acreditar que a base de dados realmente foi invadida.

O coletivo hacker Fatal Error publicou em um site de compartilhamento de códigos de computador, usado de forma anônima por pessoas ligadas à segurança da informação, que obteve acesso à base de dados da Boa Vista.

A mensagem tem um cunho ativista e indaga o direito da Boa Vista SCPC "possuir dados pessoais de todos os brasileiros, mesmo que eles não possuam dívidas".

"Não postamos nenhuma informação, de nenhum brasileiro, pois prezamos pela privacidade dos mesmos. Porém, sugiro mudarem todas suas senhas logo", diz a mensagem. 

De acordo com a publicação, o hacking teve acesso no servidor da Boa Vista, com informações de usuário e senha do banco de dados. 

"Nas últimas semanas, saíram diversas falhas de aplicações que mantêm esses sites. O que pode ter acontecido é esse grupo ter usado essas falhas para conseguir acesso aos servidores. Muitos analistas de empresas ainda não atualizaram as aplicações dos servidores", diz Igor Rincon, gerente de Produto na Flipside.

O Boa Vista SCPC tem dados cadastrais, como CPF, endereço e alguns dados de históricos financeiros. Se uma pessoa não pagou uma dívida, essa informação é usada comercialmente para que outras empresas possam fazer análise de risco de crédito.

O risco de um sistema desse porte não estar seguro é a alta probabilidade de vazamento, o que traz risco aos cidadãos cujos dados estão na plataforma. 

Dados pessoais como nome, endereço e CPF podem ser vendidos sem o consentimento do cidadão ou usados para possíveis fraudes.

"A pessoa pode passar a receber e-mail marketing como pode ser vítima de alguma fraude relacionada à identidade. Transações e cadastros podem ser feitos na internet sem a necessidade de dados mais complexos que CPF, e-mail e endereço", diz Bruno Bioni, professor e fundador do Data Privacy Brasil.

No dia 14 de agosto, o governo sancionou a Lei Geral de Proteção de Dados Pessoais. Ela passa a valer em um ano e meio. Se esse fato tivesse ocorrido com a lei já em vigor, a Boa Vista precisaria notificar à autoridade de proteção de dados pessoais (que ainda depende de uma iniciativa legislativa para ser criada).

Entre as funções da autoridade estão a análise do histórico da empresa e o auxílio na mitigação de danos. A depender do contexto, poderia dar advertência de 2% do faturamento, limitada a R$ 50 milhões pela infração.

Em nota, a Boa Vista SCPC informa que regularmente audita, protege e analisa eventuais comunicações relacionadas à sua atividade.

No momento, a empresa está trabalhando para apurar a origem e extensão do possível incidente.

Também diz que, em relação à denúncia, se for o caso, adotará todas as medidas técnicas e legais pertinentes.

Os destaques das últimas 24h resumidos em até 8 minutos de leitura.