A dica chegou ao Tecnoblog por meio de um e-mail do leitor Eric. Ele relata ter recebido uma notificação da Serasa sobre vazamento de informações pessoais: CPF, endereço, e-mail e telefone.
O ReclameAqui tem mais de uma dezena de casos parecidos. Os clientes contam que foram alertados pelo bureau de crédito, que oferece um serviço de monitoramento de informações pessoais. O Habib’s não respondeu nenhum dos chamados na plataforma.
Procurada, a Serasa não deu mais detalhes sobre como identificou que esses dados estavam na dark web, informação que consta nas notificações enviadas aos clientes. O Tecnoblog fez uma pesquisa e encontrou mais alguns indícios desse vazamento.
Dados são vendidos em fóruns de criminosos
Encontramos duas threads oferecendo dados do Habib’s em um fórum de compra e venda de informações de vazamentos.
Em uma delas, o usuário oferece dois arquivos. Um deles teria como fonte o aplicativo mobile, enquanto os dados do outro seriam do back-end do sistema web. Ao todo, os dois somariam 1,8 GB e teriam informações de mais de 3,5 milhões de usuários.
Em uma pequena amostra, o usuário exibe as colunas que estariam na base de dados:
id, avatar, nome, email, nascimento, tipo_publico, plataforma, facebook, apple_id, cpf, telefone, device_id, ip, conta_id, usuario_id, time, endpoint, aparelho, senha, genero, fidelizado, ofertas_email, ofertas_sms, origem, pontuou, usou_pontos_habibers, telefone2
Na mesma thread, outro usuário responde que não há senhas no banco de dados — em todas as entradas, o campo está vazio ou é nulo. Os dois links fornecidos estão quebrados, e o tópico foi movido para a área de bases removidas.
Em outra thread, um usuário diferente tenta vender um conjunto de 3 milhões de dados do Habib’s. A base teria como foco informações de endereço, como segmento, logradouro, bairro, cidade e UF.
Vazamento consta em site que lista incidentes
O serviço da Serasa parece não ter sido o único a perceber que havia uma venda de dados da rede de fast food rolando por aí. O Leak-Lookup, site que lista vazamentos, também tem informações sobre o incidente.
A informação cadastrada aponta mais de 3,9 milhões de entradas, com colunas como e-mail, nome completo, endereço IP, telefone e identificação do usuário — aqui, pelo menos, não há CPF e endereço.
Nenhum dos vazamentos parece conter senhas, ao menos aparentemente. Mesmo assim, o leitor Eric afirma que seu gerenciador de senhas também alertou que a do Habib’s havia sido comprometida. No meu caso, ela ainda consta como segura, mas não funciona mais no site, apenas no aplicativo.
Habib’s não se manifesta
O Tecnoblog enviou um e-mail para a assessoria de imprensa do Habib’s na sexta-feira (5). Até agora, não houve resposta. A companhia também não se manifestou em suas redes sociais nem respondeu as queixas no ReclameAqui, plataforma em que costuma ser bastante ativa.
Vale lembrar que a Lei Geral de Proteção de Dados (LGPD) determina, em seu Artigo 48, que incidentes desse tipo devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD), órgão encarregado de investigar episódios assim e aplicar as penalidades. Os titulares dos dados também deveriam ser informados.
Vamos acompanhar os desdobramentos dessa história para ver se ela realmente procede e se não vai acabar em pizza — ou melhor, em esfiha.
Colaborou: Felipe Ventura.
Hackers vendem “vazamento do Habib’s” com dados de 3 milhões de clientes
rastreamento de numero de celular
Fonte: https://tecnoblog.net/531214/hackers-vendem-vazamento-do-habibs-com-dados-de-3-milhoes-de-clientes/
Nenhum comentário:
Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.