Catho teve vazamento de dados em junho, troque sua senha!

Catho teve vazamento de dados em junho, troque sua senha! Dados pessoais de alguns clientes foram acessados, incluindo login, senha, endereço físico e CPF.

O Blog Minuto da Segurança, recebeu esta semana notificação do site Have I Been Pwned onde a senha de um colaborador teria sido vazada no site da Catho, assim, dada a importância para nossos leitores, até mesmo em vistas da recente aprovação pelo Senado da entrada da LGPD, resolvemos publicar mesmo considerando que o incidente tenha ocorrido a cerca de 2 meses. Esperamos que a notícia chegue à todos que usam o serviço e que possam trocar suas senhas e, caso a reutilizem em outros sites, possam igualmente trocá-las.

A Catho, site de busca de emprego, comunicou no dia 10 de junho de 2020, que sofreu uma invasão em seus sistemas: dados pessoais de alguns clientes foram acessados, incluindo login, senha, endereço físico e CPF. A empresa implementou mais medidas de segurança após o vazamento e está tentando identificar os responsáveis. As informações vêm do próprio site em questão, que fez uma nota à imprensa sobre o ocorrido.

A empresa conta que recebeu a informação de que os dados controlados teriam sido comprometidos  e imediatamente iniciou a investigação para compreender o ocorrido. Com isso, levantaram que o evento atingiu 195 clientes, mas os demais podem ter tido seus dados comprometidos, embora não tenham ainda essa confirmação.

Além disso, na nota à imprensa a Catho afirma também que não possui nenhuma evidência de que os dados tenham sido utilizados até aquele momento, mas que os dados de pagamento, os dados sensíveis e de currículo não foram acessados e permanecem seguros na base.

Foi possível confirmar o acesso indevido a dados pessoais de 195 usuários; a Catho afirma que entrou em contato com eles de forma individual para explicar o que aconteceu.

Outros clientes também podem ter sido afetados: por isso, toda a base cadastral recebeu um comunicado com detalhes sobre a invasão, e todas as senhas foram redefinidas — será necessário cadastrar uma nova no próximo acesso. 

Segundo a Catho, estes foram os dados acessados indevidamente:

  • login
  • senha
  • nome completo
  • CPF
  • endereço
  • e-mail
  • data de nascimento

 

Catho adota medidas de segurança após vazamento

A Catho foi alertada sobre a invasão no domingo (07/06). “Imediatamente ao tomar conhecimento do ocorrido, contratamos uma empresa que é referência internacional em segurança da informação para ajudar na investigação, identificar os responsáveis e indicar as possíveis melhorias nos controles de segurança existentes”, explica o comunicado.

A empresa afirma que tomou medidas adicionais de segurança: trocou as chaves e credenciais de acesso aos servidores; ampliou o uso de autenticação multifator nos ambientes e data centers; e implementou políticas para guardar senhas com criptografia.

Segundo a Catho, os dados de pagamento, dados sensíveis (saúde, biometria/foto) e de currículo não foram acessados pelos invasores. “Lamentamos profundamente o ocorrido”, diz a empresa; ela promete identificar os responsáveis e adotar as medidas legais cabíveis.

Imediatamente ao tomar conhecimento do ocorrido, contratamos uma empresa, que é referência internacional em segurança da informação para ajudar na investigação, identificar os responsáveis e indicar as possíveis melhorias nos controles de segurança existentes, além de outras medidas já adotadas imediatamente”, conta a empresa em questão durante a nota à imprensa.

As ações de segurança adotadas foram: trocar as chaves e credenciais de acesso aos servidores da Catho; ampliar o monitoramento de ambiente com apoio da consultoria de segurança contratada; ampliar uso de autenticação multifator para acesso aos ambientes e data centers; implantar novas políticas de definição de senhas com criptografia mais forte. Além disso, o site conta que redefiniu todas as senhas da base de clientes e usuários de forma preventiva.

Mantendo sempre a responsabilidade com nossos clientes, enviamos um comunicado para toda base da Catho com detalhes do ocorrido, assim como informações específicas para os clientes cujos dados foram comprometidos pelo acesso indevido. Recomendamos, ainda, que ao trocar as senhas de acesso ao site, caso usem a mesma senha para acessar outros sites, também realizem a substituição nestes outros ambientes“, aponta a empresa em questão.

A segurança dos dados dos nossos clientes é prioridade para a Catho. Tratamos esse assunto com muita seriedade e buscamos continuamente adotar as melhores práticas de mercado. Por isso, lamentamos profundamente o ocorrido e assumimos o dever de continuar trabalhando intensamente para garantir a segurança das pessoas e, ao lado disso, esclarecer, identificar os responsáveis, bem como adotar as medidas legais cabíveis sobre o ocorrido“, conclui.

A Catho divulgou ainda um FAQ de esclarecimento e dados de contatos, os quais reproduzimos abaixo:

O que aconteceu com meus dados?
R: Confirmamos que no dia 13/04/2020 dados de clientes nossos foram visualizados de forma indevida. Por medida de segurança e focando a sua privacidade, solicitamos que todos os clientes da Catho criassem uma nova senha para acessar a nossa plataforma.

Como isso pode me afetar?
R: Para todos os nossos clientes, como medida de segurança, fizemos a mudança das senhas de acesso na plataforma da Catho. Se você ainda não trocou a sua, mais uma, orientamos a alterar a senha imediatamente. Assim, no seu próximo acesso conosco, você realizará o procedimento de cadastro de uma nova senha. Isso reforça o nosso dever com a sua segurança.

Quais dados foram acessados indevidamente?
R: Os dados são login e senha, além de pessoais, como nome do usuário, dados de contato (e-mail e telefone), CPF e endereço. Nenhum dado sensível (saúde, biometria – foto), de currículo ou de pagamento foi acessado.

O que devo fazer para me proteger diante do ocorrido?
R. Ao acessar o nosso site, será solicitada a criação de uma nova senha. Além disso, se você usava essa mesma senha em outros acessos, recomendamos que você faça a troca.

O que a Catho fez para proteger meus dados?
R: Desde que tivemos conhecimento do ocorrido, tomamos diversas medidas de precaução:

    • Trocamos as chaves e credenciais de acesso aos servidores da Catho
    • Ampliamos o monitoramento de ambiente com apoio da consultoria de segurança contratada
    • Ampliamos uso de autenticação multifator para acesso aos ambientes e data centers
    • Implantamos novas políticas de definição de senhas com criptografia mais forte. Além disso, redefinimos todas as senhas da base de Clientes e Usuários Catho de forma preventiva.

Os meus dados foram utilizados indevidamente?
R: Não há nenhuma evidência de que os dados foram utilizados. Reforçamos que os dados sensíveis, os de pagamento e os de perfil profissional não foram acessados e permancem seguros em nossa base.

Como entro em contato com a Catho referente a esse assunto?
R: Colocamos à disposição dos nossos clientes também nossos canais de atendimento em caso de dúvidas:

    • Telefone: (11) 4134.3535
    • E-mail: duvidas@catho.com.br

 

Fonte: Catho & CanalTech & Tecnoblog & Have I Been Pwned

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Ex-funcionário da CISCO apagou 456 VMs após ser desligado

Deixe sua opinião!