Netshoes é multada em R$500 mil por vazamento de informações de 2 Milhões de clientes. O Ministério Público do Distrito Federal e Territórios (MPDFT) firmou termo de ajustamento de conduta (TAC) com a empresa Netshoes. O acordo foi proposto pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do MPDFT, após o vazamento de dados de quase 2 milhões de clientes em 2018.
A empresa deverá pagar indenização de R$ 500 mil, que serão recolhidos mediante depósitos no Fundo de Defesa de Direitos Difusos (FDD). O inquérito civil aberto para investigar o caso ficará suspenso até a quitação do valor integral da indenização.
Segundo o acordo, a Netshoes também se compromete a implantar medidas adicionais ao seu Programa de Proteção de Dados, a realizar esforços de orientação de consumidores, a aumentar o nível de conhecimento sobre os riscos cibernéticos e medidas de proteção de seus dados pessoais, por meio de campanha de conscientização, e a disseminar ao mercado as melhores práticas para privacidade e proteção de dados pessoais. Caso as obrigações sejam descumpridas, o Ministério Público proporá ação de reparação pelos danos morais coletivos.
“Netshoes pagará o equivalente a R$0,25 por registro vazado“
Em janeiro de 2018, diante do vazamento de informações de 1.999.704 contas com informações de usuários cadastrados no site de compras Netshoes, o MPDFT recomendou que a empresa entrasse em contato com todos os clientes afetados. Apesar de não terem sido reveladas informações como cartão de crédito ou senhas, o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras. Em março, a empresa fez os contatos com os clientes atingidos.
Para o promotor de Justiça Frederico Meinberg Ceroy, coordenador da Espec, “a assinatura do presente Termo de Ajustamento de Conduta demonstra ser possível a resolução de conflito de forma consensual, com o devido ressarcimento da coletividade ante ao dano moral sofrido, sem, contudo, onerar excessivamente a empresa que colaborou com as investigações do MP“.
Na época forma comprometidos dados de 1.999.704 clientes da Netshoes, desta forma a multa aplicada à Netshoes representa o valor de R$0,25 por registro vazado.
Frente a lei de privacidade de dados vigente desde agosto de 2018, o valor por registro, pago pela Netshoes nos parece um tanto quanto pequeno, se considerarmos os impactos à privacidade dos clientes, que podem ter ficado expostos a situações de fraude ou outros assédios cibernéticos ou não.
Na opinião deste blog, enquanto não formos mais incisivos sobre vazamento de dados como este, as empresas ainda terão a tendência de achar que “vale a pena” correr o risco a investir em sistemas e equipes qualificadas para a proteção das informações.
Multas como esta parece reforçar ainda mais a máxima de que leis no Brasil precisam “pegar” para serem verdadeiramente cumpridas.
Caso Netshoes
Em dezembro de 2017, notícias aqui no Blog Minuto da Segurança , que dados de 2 milhões de clientes da Netshoes haviam sido vazados através de vulnerabilidades da plataforma.
Segundo o hacker o objetivo era mostrar que as empresas não estão protegendo os dados de seus clientes como afirmam: “Queremos que as companhias encerem o discurso de que os dados de consumidores estão seguros. As pessoas não podem continuar sendo enganadas pelas empresas acreditando que seus dados pessoais estão seguros”.
Na época a Netshoes enviou posicionamento para o site dizendo “A Netshoes afirma que não foram identificados quaisquer indícios de invasão aos sistemas da empresa e adotou todas as diligências para apurar a possível origem das informações. A companhia reforça que tais dados não incluem informações bancárias, de cartões de crédito ou senhas de acesso, e reitera o compromisso com a segurança de seus ambientes tecnológicos, a fim de garantir a proteção das informações de sua base de consumidores“.
Em janeiro de 2018, diante do vazamento de informações de 1.999.704 contas com informações de usuários cadastrados no site de compras Netshoes, o MPDFT recomendou que a empresa entrasse em contato com todos os clientes afetados. Apesar de não terem sido reveladas informações como cartão de crédito ou senhas, o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras. Em março, a empresa fez os contatos com os clientes atingidos.
Diante do vazamento de informações de cadastrados no site de compras Netshoes, em dezembro, o Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou, em janeiro, que a empresa entre em contato com todos os clientes afetados.
O MPDFT também recomendou que a Netshoes se abstenha de efetuar qualquer tipo de pagamento ao suposto autor do incidente de segurança, seja na forma de moeda real ou virtual.
O incidente de segurança também comprometeu os dados pessoais de centenas de servidores públicos politicamente expostos. Conforme a análise das informações, há diversos clientes registrados com e-mails de órgãos públicos, como Tribunal de Contas da União (@tcu.gov.br), Câmara dos Deputados (@camara.leg.br), Tribunal de Justiça do Distrito Federal e Territórios (@tjdft.jus.br), Polícia Federal (@dpf.gov.br), Superior Tribunal de Justiça (@stj.jus.br), Supremo Tribunal Federal (@stf.jus.br), Ministério da Justiça (@mj.gov.br), Advocacia-Geral da União (@agu.gov.br) e Presidência da República (@presidencia.gov.br), entre outros.
Em fevereiro um comunicado conjunto foi pelo Ministério Público do Distrito Federal e Territórios (MPDFT) e a Netshoes informando que os consumidores atingidos pelo incidente de segurança serão contatados pela empresa por telefone. Mais de 2 milhões de clientes foram atingidos.
A empresa comprometeu-se a fazer os contatos a partir de março e a contatar todos os clientes afetados pelo vazamento de dados, amplamente noticiado pela mídia e investigado pelo MPDFT. O comunicado esclareceu, ainda, que senhas, números de cartões de crédito e dados bancários não foram comprometidos pelo incidente.
Fonte: MPDFT
Veja também:
- MP quer que Netshoes notifique 2 Milhões de clientes sobre vazamento de dados pessoais
- Netshoes é invadida e dados de clientes caem nas mãos de hacker
- Como melhorar a resposta a incidentes e o tempo de remediação
- Uma certeza na vida – A CRISE
- Google alerta sobre “zero day” antes do lançamento do novo iOS 12.1.4
- Servidores RDP podem invadir dispositivos de cliente
- Vulnerabilidade do Microsoft Exchange permite que invasores obtenham privilégios de administrador de domínio
- Vulnerabilidade na rede de telefonia permite captura de SMS usado como 2FA
- Antivírus DATLESS revoluciona mercado de Endpoint
- Mais 24 Milhões de documentos financeiros vazam na Amazon S3
- Pagar Resgate de Ramsonware: mais contras do que pros
Deixe sua opinião!