Hackers vendem dados de mais de 3 milhões de clientes do Habib’s

Duas threads postadas em um fórum de venda de dados estavam comercializando dados de mais de 3 milhões de clientes da rede de fast food Habib’s. E, ao que parece, os dados são verdadeiros. Alguns clientes foram, inclusive, notificados pela Serasa. E o vazamento também consta em uma listagem pública.

A informação veio à tona pois algumas pessoas receberam um e-mail da Serasa avisando que dados pessoais poderiam ter sido vazados. Dentre eles estão e-mail, número de telefone, endereço residencial e até mesmo o CPF!

E se você der uma olhada no ReclameAqui, pesquisar por “Habib’s” e filtrar a pesquisa por “vazamento” verá várias reclamações de usuários que também foram avisados por algum serviço de monitoramento de dados pessoais. E para piorar a situação, o Habib’s não respondeu a nenhuma das reclamações até agora. A Serasa, por sua vez, também não deu informações de como descobriu que esses dados estavam sendo comercializados na Dark Web.

Dados pessoais vendidos em fórum

As informações pessoais dos clientes estão sendo vendidas em, pelo menos, duas threads em um fórum de compra e venda de informações oriundas de vazamentos. No total são dois arquivos, totalizando 1,8 GB. O mais assustador é que um dos arquivos usou como fonte o aplicativo mobile da rede de fast food. Já o segundo arquivo tirou as informações do back-end do sistema web. Tais informações são referentes a mais de 3,5 milhões de clientes.

Na imagem abaixo você confere quais dados foram vazados. Os dados vão desde informações pessoais, como nome, e-mail, CPF e endereço até informações sobre o cliente em si, como se ele é um cliente fidelizado e se usou pontos habibers.

Na imagem acima há o campo senha. Mas um dos usuários do fórum afirmou que não há nenhuma senha no banco de dados. Ou a entrada está vazia ou o campo é nulo. Neste fórum em específico, os dois links dos arquivos estão quebrados e a thread já foi movida para a área de bases removidas.

Já na segunda thread um outro usuário tenta vender os dados do Habib’s. Segundo ele, os dados são referentes a mais de 3 milhões de pessoas. Eles incluem informações como endereço detalhado, contendo rua, bairro, cidade e estado.

Vazamento já se tornou público

O site Leak-Lookup, que lista vazamentos de informações, também identificou esse vazamento e que os dados estavam sendo vendidos. Segundo a base de dados desse site, o vazamento inclui mais de 3,9 milhões de entradas. Cada entrada possui colunas com nome completo, e-mail, endereço IP, telefone e identificação do usuário. Aqui não há CPF e nem endereço residencial. Ao que parece, não houve vazamento de senhas. Menos mal.

Até o momento o Habib’s se mantém em silência. Não respondeu a nenhuma das reclamações no ReclameAqui e também não se manifestou nas redes sociais. Segundo o artigo 48 da Lei Geral de Proteção de Dados (LGPD), em casos assim a empresa deve comunicar o incidente à Autoridade Nacional de Proteção de Dados (ANPD). A função desse órgão é justamente investigar esses vazamentos e aplicar as penalidades devidas. Os titulares dos dados vazados também devem ser informados.

A LGPD, quando aplicada, costuma ser bem rígida com as empresas que são negligentes com os dados de seus clientes. Por exemplo, a Amazon foi multada em US$ 888 milhões por um vazamento de dados. A Netshoes também teve uma multa bem pesada por outro vazamento de dados. Se for confirmado algum tipo de negligência por parte do Habib’s, é bem provável que a rede de fast food também seja multada em valores altos.