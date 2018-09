Folhapress

SÃO PAULO, SP (FOLHAPRESS) - O Ministério Público do Distrito Federal anunciou na quarta-feira (4) que instaurou inquérito civil público para investigar o comprometimento de dados pessoais em um suposto vazamento que envolve a Boa Vista SCPC, empresa que detém mais de 350 milhões de dados de brasileiros. "Os investigadores tiveram acesso ao arquivo inicial sobre o incidente, que pode ter afetado mais de 350 milhões de cadastrados", diz o MPDF em nota.

No domingo (2), como noticiou a Folha de S.Paulo, o coletivo hacker Fatal Error publicou em um site de compartilhamento de códigos de computador, usado de forma anônima por pessoas ligadas à segurança da informação, que obteve acesso a dados que deveriam estar protegidos pela empresa.

A Boa Vista não confirmou a invasão ao sistema e nem o vazamento desses dados na internet, mas diz que está apurando o caso internamente.

Diversos especialistas em segurança da informação ouvidos pela Folha defendem que houve uma intrusão, mas que é difícil comprovar o vazamento. Eles argumentam que o hacker que publicou o código de acesso ao sistema tem "muita reputação no meio" e que "não se exporia se não fosse verdade". Além disso, circula na internet um arquivo com dados como nome completo, endereço, nome da mãe e CPF de milhões de pessoas.

"Houve invasão, pegaram as chaves privadas, mesmo que sejam antigas. O que não tem como comprovar foi o vazamento de dados. Porque o acesso pode ter sido a uma máquina de backup ou desenvolvimento que não estava segura, o que não quer dizer que eles tiveram acesso ao banco de dados de toda a Boa Vista", explicou um especialista que prefere não ser identificado.

A motivação da invasão, segundo os hackers, não é criminosa, mas ativista. Uma mensagem indaga o direito da Boa Vista SCPC "possuir dados pessoais de todos os brasileiros, mesmo que eles não possuam dívidas".

De acordo com a Lei do Cadastro Positivo, que regula a formação e a consulta a bancos de dados para formação de histórico de crédito, a Boa Vista é considerada empresa gestora, como lembra o inquérito. "Por isso, tem responsabilidade objetiva e solidária pelos danos materiais e morais que causar aos cadastrados", diz o documento.

Segundo o promotor de Justiça Frederico Meinberg, coordenador da Comissão de Proteção de Dados Pessoais, "a investigação objetiva esclarecer as circunstâncias do suposto incidente de segurança e se teve como causa, entre outros motivos, a recente vulnerabilidade identificada no Apache Struts 2, designada de CVE 2018-11776".

O inquérito também baseia sua argumentação no Código de Defesa do Consumidor.

Nesta semana, o MPDF também abriu inquérito para apurar o possível vazamento de dados de 2 milhões de clientes da cadeia de lojas de varejo C&A.

A C&A disse que responderá às solicitações de informações no prazo. Também confirmou o ciberataque no sistema na última semana, e afirmou que acionou seu plano de contingência, notificou as autoridades competentes e que "está atuando ativamente para se adequar à nova legislação de proteção brasileira".