Senacom abre investigação por vazamento de dados pessoais na TIM

Senacom abre investigação por vazamento de dados pessoais na TIM. Os supostos vazamentos teriam ocorrido no serviço TIM Negocia.

Em 16 de outubro, o  Senacon – Secretaria Nacional do Consumidor, do ministério da Justiça e Segurança Pública, instaurou processo administrativo para apurar a acusação contra a operadora TIM pelos supostos vazamentos de dados e valores de dívidas dos consumidores .

Segundo o Departamento de Proteção e Defesa do Consumidor – DPDC – os indícios são de ofensa aos princípios da vulnerabilidade, transparência, confiança, educação, informação, harmonização de interesse e da boa-fé, além dos direitos de liberdade de escolha, informação adequada, proteção contra práticas abusivas e efetiva prevenção e reparação de danos.

O DPDC teve conhecimento por meio da mídia de suposto vazamento de dados sensíveis. De acordo com a notícia, do TecMundo, que embasou a instauração processo, não se sabe por quanto tempo os hackers tiveram acesso ao sistema e nem qual o volume de dados de clientes eles realmente conseguiram visualizar ao longo desse tempo.

A operadora TIM possui um serviço chamado Negocia onde por meio dele, clientes podem checar dívidas e negociar formas de pagamento com a operadora. De acordo o site TecMundo,de abril deste ano, uma brecha no TIM Negocia permitia que cibercriminosos acompanhassem dados pessoais e valores de dívidas de milhares de clientes da TIM.

Um dos pontos mais sensíveis do caso é quantidade de informação vazada e a quantidade de clientes afetados. O TecMundo afirma ter recebido uma amostra de 48 mil clientes [29 mil, segundo a TIM], com nomes, CPF, data de nascimento, valor da dívida e número da TIM. Porém, os dados no sistema são rotativos e atualizados mensalmente, por isto não se sabe por quanto tempo os hackers tiveram acesso ao sistema  e nem quantos clientes eles realmente conseguiram visualizar ao longo desse tempo.

A falha no TIM Negocia permitia que cibercriminosos acompanhassem, além dos dados, o atendimento realizado pela própria operadora. Ou seja: o que era conversado em chat, como dúvidas sobre dívidas, também poderia ser puxado via token vazado.

A operadora afirmou que a plataforma Tim Negocia permite que consumidores consultem e quitem eventuais pendências financeiras. Com conhecimento da possível brecha, a empresa retirou a plataforma e o site do ar por prevenção e como medida de proteção de dados dos clientes.

Após a instauração dos processos pelo Senacom, a empresa será intimada para se manifestar e requerer a produção de provas. A empresa poderá ser multada em aproximadamente R$ 10 milhões caso os indícios sejam confirmados.

Segundo a TIM, “há graves inconsistências na matéria veiculada pelo site TecMundo, que trata de um suposto vazamento de dados da plataforma TIM NEGOCIA“. Mesmo assim, a TIM confirma que dados de clientes foram vazados: “Ao contrário do que cita a reportagem, foram impactados 29 mil clientes, e não 48 mil“. 

LGPD

Em menos de um ano entrará em vigor a LGPD – Lei Geral de Proteção de Dados (13.709/18), que dispõe exatamente acerca da proteção dos dados dos cidadãos brasileiros. A lei buscou fixar normas para o tratamento de dados pessoais por empresas e órgãos públicos.

Nessa linha, a notícia de instauração de processo administrativo contra a TIM por vazamento de dados, segundo posicionamento da advogada Natália Brotto, divulgada no site Migalhas demonstra “a criação de uma cultura de proteção de dados, o que se verifica claramente pela preocupação cada vez maior não apenas do consumidor, titular dos dados, mas das autoridades e entidades que buscam resguardar os interesses e direitos do consumidor“.

A advogada avalia que a abertura de processos administrativos, investigações, imposições de multa e, inclusive, ajuizamento de ações individuais dão uma amostra do risco que será suportado pelas empresas que não se preocuparem com a adequação à LPGD. 

Natália Brotto explica ainda que a LGPD em inúmeros artigos cita a necessidade de coordenação da ANPD – Agência Nacional de Proteção de Dados (ainda em processo de criação) com outros órgãos e entidades públicas cujas competências podem estar relacionadas ao tema. 

Nesse sentido, parece-nos que haverá sim uma competência simultânea, não apenas do Senacom mas de outros órgãos e entidades juntamente com a ANPD. Veja que a LGPD sequer entrou em vigor e já existem aplicações de multas e sanções por outros órgãos em relação ao tema da proteção de dados, não nos parecesse que a referida atuação será suprimida após a criação da ANPD, pelo contrário, creio que a referida atuação será ainda mais intensificada.

A advogada, especialista em Direito Constitucional e Direito Contratual, salienta que também em relação aos direitos dos titulares, especificados no art. 18º da lei, o §8º do mesmo artigo determina de maneira expressa que os titulares poderão realizar reclamações em relação aos seus dados não apenas perante a ANPD mas perante os organismos de Defesa do Consumidor: “Na prática isso significa que o titular poderá reclamar perante a ANPD, Senacom ou mesmo qualquer Procom.”

Por enquanto, não há informações da Senacom acerca do alcance do vazamento da TIM, caso confirmado – tanto em número de titulares, quanto aos dados vazados e gravidade. Assim, pondera Natália, é difícil mensurar os valores das possíveis penalidades, “mas caso se confirme uma grande extensão de vazamento, bem como um alto grau de dano aos titulares, a multa [R$ 10 milhões] parece condizer com os padrões aplicados nos EUA e Europa“.

Vale anotar que nos termos do que determina a LGPD as sanções devem ser mensuradas levando-se em consideração uma série de parâmetros, como  a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, sua  condição econômica, o grau do dano, entre outros.

Fonte: Senacom & TecMundo & Migalhas

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

6 Trackbacks / Pingbacks

  1. FATEC-SC abre inscrições para o curso de Segurança da Informação - Minuto da Segurança da Informação
  2. Senacom abre investigação por vazamento de dados pessoais na TIM – Information Security
  3. AWS sofre ataque DDoS por 8 horas
  4. Samsung corrigi a falha do leitor de impressão digital Galaxy S10
  5. Antivírus Gratuitos são ameaças para usuários
  6. Reconhecimento facial ameaça direitos básicos de privacidade

Deixe sua opinião!