Netshoes é multada em R$500 mil por vazamento de informações de 2 Milhões de clientes

Netshoes é multada em R$500 mil por vazamento de informações de 2 Milhões de clientes. O Ministério Público do Distrito Federal e Territórios (MPDFT) firmou termo de ajustamento de conduta (TAC) com a empresa Netshoes. O acordo foi proposto pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do MPDFT, após o vazamento de dados de quase 2 milhões de clientes em 2018.

A empresa deverá pagar indenização de R$ 500 mil, que serão recolhidos mediante depósitos no Fundo de Defesa de Direitos Difusos (FDD). O inquérito civil aberto para investigar o caso ficará suspenso até a quitação do valor integral da indenização.

Segundo o acordo, a Netshoes também se compromete a implantar medidas adicionais ao seu Programa de Proteção de Dados, a realizar esforços de orientação de consumidores, a aumentar o nível de conhecimento sobre os riscos cibernéticos e medidas de proteção de seus dados pessoais, por meio de campanha de conscientização, e a disseminar ao mercado as melhores práticas para privacidade e proteção de dados pessoais. Caso as obrigações sejam descumpridas, o Ministério Público proporá ação de reparação pelos danos morais coletivos.

Netshoes pagará o equivalente a R$0,25 por registro vazado

Em janeiro de 2018, diante do vazamento de informações de 1.999.704 contas com informações de usuários cadastrados no site de compras Netshoes, o MPDFT recomendou que a empresa entrasse em contato com todos os clientes afetados. Apesar de não terem sido reveladas informações como cartão de crédito ou senhas, o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras. Em março, a empresa fez os contatos com os clientes atingidos.

Para o promotor de Justiça Frederico Meinberg Ceroy, coordenador da Espec, “a assinatura do presente Termo de Ajustamento de Conduta demonstra ser possível a resolução de conflito de forma consensual, com o devido ressarcimento da coletividade ante ao dano moral sofrido, sem, contudo, onerar excessivamente a empresa que colaborou com as investigações do MP“.

Na época forma comprometidos dados de 1.999.704 clientes da Netshoes, desta forma a multa aplicada à Netshoes representa o valor de R$0,25 por registro vazado.

Frente a lei de privacidade de dados vigente desde agosto de 2018, o valor por registro, pago pela Netshoes nos parece um tanto quanto pequeno, se considerarmos os impactos à privacidade dos clientes, que podem ter ficado expostos a situações de fraude ou outros assédios cibernéticos ou não.

Na opinião deste blog, enquanto não formos mais incisivos sobre vazamento de dados como este, as empresas ainda terão a tendência de achar que “vale a pena” correr o risco a investir em sistemas e equipes qualificadas para a proteção das informações.

Multas como esta parece reforçar ainda mais a máxima de que leis no Brasil precisam “pegar” para serem verdadeiramente cumpridas.

Caso Netshoes

Em dezembro de 2017, notícias aqui no Blog Minuto da Segurança , que dados de 2 milhões de clientes da Netshoes haviam sido vazados através de vulnerabilidades da plataforma.

Segundo o hacker o objetivo era mostrar que as empresas não estão protegendo os dados de seus clientes como afirmam: “Queremos que as companhias encerem o discurso de que os dados de consumidores estão seguros. As pessoas não podem continuar sendo enganadas pelas empresas acreditando que seus dados pessoais estão seguros”.

Na época a Netshoes enviou posicionamento para o site dizendo “A Netshoes afirma que não foram identificados quaisquer indícios de invasão aos sistemas da empresa e adotou todas as diligências para apurar a possível origem das informações. A companhia reforça que tais dados não incluem informações bancárias, de cartões de crédito ou senhas de acesso, e reitera o compromisso com a segurança de seus ambientes tecnológicos, a fim de garantir a proteção das informações de sua base de consumidores“.

Em janeiro de 2018, diante do vazamento de informações de 1.999.704 contas com informações de usuários cadastrados no site de compras Netshoes, o MPDFT recomendou que a empresa entrasse em contato com todos os clientes afetados. Apesar de não terem sido reveladas informações como cartão de crédito ou senhas, o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras. Em março, a empresa fez os contatos com os clientes atingidos.

Diante do vazamento de informações de cadastrados no site de compras Netshoes, em dezembro, o Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou, em janeiro, que a empresa entre em contato com todos os clientes afetados.

O MPDFT também recomendou que a Netshoes se abstenha de efetuar qualquer tipo de pagamento ao suposto autor do incidente de segurança, seja na forma de moeda real ou virtual.

O incidente de segurança também comprometeu os dados pessoais de centenas de servidores públicos politicamente expostos. Conforme a análise das informações, há diversos clientes registrados com e-mails de órgãos públicos, como Tribunal de Contas da União (@tcu.gov.br), Câmara dos Deputados (@camara.leg.br), Tribunal de Justiça do Distrito Federal e Territórios (@tjdft.jus.br), Polícia Federal (@dpf.gov.br), Superior Tribunal de Justiça (@stj.jus.br), Supremo Tribunal Federal (@stf.jus.br), Ministério da Justiça (@mj.gov.br), Advocacia-Geral da União (@agu.gov.br) e Presidência da República (@presidencia.gov.br), entre outros.

Em fevereiro um comunicado conjunto foi pelo Ministério Público do Distrito Federal e Territórios (MPDFT) e a Netshoes informando que os consumidores atingidos pelo incidente de segurança serão contatados pela empresa por telefone. Mais de 2 milhões de clientes foram atingidos.

A empresa comprometeu-se a fazer os contatos a partir de março e a contatar todos os clientes afetados pelo vazamento de dados, amplamente noticiado pela mídia e investigado pelo MPDFT. O comunicado esclareceu, ainda, que senhas, números de cartões de crédito e dados bancários não foram comprometidos pelo incidente.

Fonte: MPDFT 

Veja também:

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Os desafios da diversidade de gênero na Segurança da Informação
  2. Ransomware ainda é uma das ameaças mais destrutíveis
  3. Top 20 Controles Críticos de Segurança para Higiene Cibernética Eficiente

Deixe sua opinião!