Exclusivo: Hackers vendem “vazamento do Habib’s” com dados de 3 milhões de clientes

Views: 438
0 0
Read Time:3 Minute, 2 Second

Duas threads em um fórum de venda de dados oferecem informações que seriam provenientes da rede de fast food Habib’s. Em ambas, o conjunto de informações supera a marca de 3 milhões de clientes. O vazamento também consta em uma listagem pública e foi notificado a clientes da Serasa.

A dica chegou ao Tecnoblog por meio de um e-mail do leitor Eric. Ele relata ter recebido uma notificação da Serasa sobre vazamento de informações pessoais: CPF, endereço, e-mail e telefone.

O ReclameAqui tem mais de uma dezena de casos parecidos. Os clientes contam que foram alertados pelo bureau de crédito, que oferece um serviço de monitoramento de informações pessoais. O Habib’s não respondeu nenhum dos chamados na plataforma.

Procurada, a Serasa não deu mais detalhes sobre como identificou que esses dados estavam na dark web, informação que consta nas notificações enviadas aos clientes. O Tecnoblog fez uma pesquisa e encontrou mais alguns indícios desse vazamento.

Dados são vendidos em fóruns de criminosos

Encontramos duas threads oferecendo dados do Habib’s em um fórum de compra e venda de informações de vazamentos.

Em uma delas, o usuário oferece dois arquivos. Um deles teria como fonte o aplicativo mobile, enquanto os dados do outro seriam do back-end do sistema web. Ao todo, os dois somariam 1,8 GB e teriam informações de mais de 3,5 milhões de usuários.

Em uma pequena amostra, o usuário exibe as colunas que estariam na base de dados:

id, avatar, nome, email, nascimento, tipo_publico, plataforma, facebook, apple_id, cpf, telefone, device_id, ip, conta_id, usuario_id, time, endpoint, aparelho, senha, genero, fidelizado, ofertas_email, ofertas_sms, origem, pontuou, usou_pontos_habibers, telefone2

Na mesma thread, outro usuário responde que não há senhas no banco de dados — em todas as entradas, o campo está vazio ou é nulo. Os dois links fornecidos estão quebrados, e o tópico foi movido para a área de bases removidas.

Em outra thread, um usuário diferente tenta vender um conjunto de 3 milhões de dados do Habib’s. A base teria como foco informações de endereço, como segmento, logradouro, bairro, cidade e UF.

Vazamento consta em site que lista incidentes

O serviço da Serasa parece não ter sido o único a perceber que havia uma venda de dados da rede de fast food rolando por aí. O Leak-Lookup, site que lista vazamentos, também tem informações sobre o incidente.

A informação cadastrada aponta mais de 3,9 milhões de entradas, com colunas como e-mail, nome completo, endereço IP, telefone e identificação do usuário — aqui, pelo menos, não há CPF e endereço.

Nenhum dos vazamentos parece conter senhas, ao menos aparentemente. Mesmo assim, o leitor Eric afirma que seu gerenciador de senhas também alertou que a do Habib’s havia sido comprometida. No meu caso, ela ainda consta como segura, mas não funciona mais no site, apenas no aplicativo.

Habib’s não se manifesta

Tecnoblog enviou um e-mail para a assessoria de imprensa do Habib’s na sexta-feira (5). Até agora, não houve resposta. A companhia também não se manifestou em suas redes sociais nem respondeu as queixas no ReclameAqui, plataforma em que costuma ser bastante ativa.

Vale lembrar que a Lei Geral de Proteção de Dados (LGPD) determina, em seu Artigo 48, que incidentes desse tipo devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD), órgão encarregado de investigar episódios assim e aplicar as penalidades. Os titulares dos dados também deveriam ser informados.

Vamos acompanhar os desdobramentos dessa história para ver se ela realmente procede e se não vai acabar em pizza — ou melhor, em esfiha.

FONTE: TERRA

POSTS RELACIONADOS