Vazamento de informações afetou quase 2 milhões de contas de usuários do Netshoes. Foto: Pixabay.

Após o vazamento de informações de quase 2 milhões de contas com informações de usuários cadastrados no site de compras Netshoes, o Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou na última semana que a empresa entre em contato com todos os clientes afetados.

Com o vazamento não foram reveladas informações como cartão de crédito ou senhas, mas o órgão afirma que o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras.

O MPDFT também recomendou que a Netshoes se abstenha de efetuar qualquer tipo de pagamento ao suposto autor do incidente de segurança, seja na forma de moeda real ou virtual. 

Em resposta ao pedido, a Netshoes afirma, em nota, que “após minuciosa apuração interna - que contou com apoio de empresa especializada em segurança digital e comunicação à Polícia Federal desde o início do caso - chegou-se à conclusão, em linha com comunicados anteriores da companhia, de que não há qualquer indício de invasão à sua estrutura tecnológica”.

A Netshoes relata que desde que foi noticiado o vazamento das informações, em dezembro, a empresa investiga a origem do roubo de dados, já que não detectou uma invasão ao sistema de tecnologia.

“Durante todo o processo, o objetivo foi solucionar o crime virtual, não ceder a qualquer extorsão e proteger seus consumidores”, destaca a companhia.

Após a recomendação do MPDFT, foi dado um prazo de três dias úteis para que a empresa responda se pretende acatar a recomendação e quais medidas serão implementadas.

De acordo com o relatório, o incidente de segurança comprometeu os dados pessoais de centenas de servidores públicos politicamente expostos. 

Conforme a análise das informações, há diversos clientes registrados com e-mails de órgãos públicos, como Tribunal de Contas da União (@tcu.gov.br), Câmara dos Deputados (@camara.leg.br), Tribunal de Justiça do Distrito Federal e Territórios (@tjdft.jus.br), Polícia Federal (@dpf.gov.br), Superior Tribunal de Justiça (@stj.jus.br), Supremo Tribunal Federal (@stf.jus.br), Ministério da Justiça (@mj.gov.br), Advocacia-Geral da União (@agu.gov.br) e Presidência da República (@presidencia.gov.br), entre outros.

O documento foi elaborado pela Comissão de Proteção dos Dados Pessoais e pela 1ª Promotoria de Justiça de Defesa do Consumidor (Prodecon). 

De acordo com o promotor de Justiça e coordenador da Comissão, Frederico Meinberg, a atuação é necessária, “diante da gravidade dos fatos, do risco de prejuízos graves aos consumidores e da quantidade de titulares dos dados pessoais afetados”, destacou.

O estudo também verificou que os códigos de referência das compras no site indicaram a aquisição de produtos de saúde, como monitor de pressão arterial, o que caracteriza dados pessoais sensíveis dos titulares. 

“O Ministério Público realizou levantamentos, por amostragem, que demonstraram a veracidade dos dados pessoais comprometidos e dos produtos adquiridos. Essas informações, nas mãos erradas, deixam as pessoas vulneráveis a diversas espécies de fraudes”, explica Meinberg.

Em nota, o Netshoes também reforça que adota todas as medidas e melhores práticas de segurança da informação e que não negocia com criminosos.

“Por fim, a Netshoes informa que está em contato com o Ministério Público a fim de avaliar as medidas cabíveis dentro do prazo estabelecido e que confia nas autoridades competentes para a identificação do autor do ato ilícito”, conclui a nota da empresa.

A Comissão de Proteção dos Dados Pessoais do MPDFT trata exclusivamente da proteção da privacidade e dos dados pessoais. 

Criada em novembro de 2017, tem como atribuições promover o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e medidas de segurança. A organização também recebe comunicações sobre ocorrências de incidentes de segurança (data breach notification).

Pelo Twitter, a resposta da companhia pela conta @sigaNetshoes para os clientes que pedem informações a respeito do incidente reforça o fato de que não houve invasão ao sistema.