O Ministério Público do Distrito Federal (MPDFT)
instaurou nesta segunda-feira, 13 de janeiro, um inquérito para investigar
a possível vulnerabilidade de dados do Cadastro Positivo causada pelo birô de
crédito do Boa Vista. Segundo a investigação, dados como nome, sobrenome, CPF e
nome da mãe dos clientes estavam disponíveis para hackers e agentes
maliciosos.
Ainda não é possível saber quantas pessoas foram
afetadas pela brecha, mas o MPDFT acredita que os dados não foram acessados por
terceiros - é por isso que trata o caso como vulnerabilidade e não vazamento de
dados.
A investigação começou após uma denúncia de um
cliente que acessou o site do Boa Vista para pedir a retirada de
seu nome do Cadastro Positivo. Ao entrar uma única vez com
o CPF, a plataforma já informou seu nome completo - esse processo é mais
complexo no site da Receita Federal, por exemplo, que exige o processo em duas
etapas.
Posteriormente, o MPDFT detectou que era possível
extrair o nome da mãe dos clientes na área de desenvolvedores do site. Com
essas informações, era possível obter outros dados pessoais em
outros sites e instituições, como Receita Federal e Justiça
eleitoral.
O Boa Vista afirma que foi notificado formalmente
sobre o caso, e disse: "As investigações internas até o momento não
constataram qualquer vulnerabilidade em relação à base de dados do Cadastro
Positivo."
O Estado apurou que o MPDFT
enviou ao Boa Vista na quarta, 15, recomendações para que a falha seja
corrigida. A empresa terá três dias úteis para dizer se acata as recomendações
e outros cinco dias úteis para resolver o problema. Caso não resolva o problema
e os dados sejam vazados, o Boa Vista Pode ser alvo de uma ação cívil pública
coletiva por danos morais aos clientes.
De acordo com o regulamento do Cadastro Positivo,
os birôs tem 48 horas para comunicar falhas de segurança ao Banco Central à
Secretaria Nacional do Consumidor e a Autoridade Nacional de Proteção de Dados
(ANPD), agência que será responsável pela fiscalização da privacidade dados
quando a Lei Geral de Proteção de Dados (LGPD)
entrar em vigor em agosto desde ano.
Nenhum comentário:
Postar um comentário