Duas threads postadas em um fórum de venda de dados estavam comercializando dados de mais de 3 milhões de clientes da rede de fast food Habib’s. E, ao que parece, os dados são verdadeiros. Alguns clientes foram, inclusive, notificados pela Serasa. E o vazamento também consta em uma listagem pública.
A informação veio à tona pois algumas pessoas receberam um e-mail da Serasa avisando que dados pessoais poderiam ter sido vazados. Dentre eles estão e-mail, número de telefone, endereço residencial e até mesmo o CPF!
E se você der uma olhada no ReclameAqui, pesquisar por “Habib’s” e filtrar a pesquisa por “vazamento” verá várias reclamações de usuários que também foram avisados por algum serviço de monitoramento de dados pessoais. E para piorar a situação, o Habib’s não respondeu a nenhuma das reclamações até agora. A Serasa, por sua vez, também não deu informações de como descobriu que esses dados estavam sendo comercializados na Dark Web.
/@/static/wp/2021/11/11/imagem_2021-11-11_063925.png)
Dados pessoais vendidos em fórum
As informações pessoais dos clientes estão sendo vendidas em, pelo menos, duas threads em um fórum de compra e venda de informações oriundas de vazamentos. No total são dois arquivos, totalizando 1,8 GB. O mais assustador é que um dos arquivos usou como fonte o aplicativo mobile da rede de fast food. Já o segundo arquivo tirou as informações do back-end do sistema web. Tais informações são referentes a mais de 3,5 milhões de clientes.
Na imagem abaixo você confere quais dados foram vazados. Os dados vão desde informações pessoais, como nome, e-mail, CPF e endereço até informações sobre o cliente em si, como se ele é um cliente fidelizado e se usou pontos habibers.
Na imagem acima há o campo senha. Mas um dos usuários do fórum afirmou que não há nenhuma senha no banco de dados. Ou a entrada está vazia ou o campo é nulo. Neste fórum em específico, os dois links dos arquivos estão quebrados e a thread já foi movida para a área de bases removidas.
Já na segunda thread um outro usuário tenta vender os dados do Habib’s. Segundo ele, os dados são referentes a mais de 3 milhões de pessoas. Eles incluem informações como endereço detalhado, contendo rua, bairro, cidade e estado.
Vazamento já se tornou público
O site Leak-Lookup, que lista vazamentos de informações, também identificou esse vazamento e que os dados estavam sendo vendidos. Segundo a base de dados desse site, o vazamento inclui mais de 3,9 milhões de entradas. Cada entrada possui colunas com nome completo, e-mail, endereço IP, telefone e identificação do usuário. Aqui não há CPF e nem endereço residencial. Ao que parece, não houve vazamento de senhas. Menos mal.
Até o momento o Habib’s se mantém em silência. Não respondeu a nenhuma das reclamações no ReclameAqui e também não se manifestou nas redes sociais. Segundo o artigo 48 da Lei Geral de Proteção de Dados (LGPD), em casos assim a empresa deve comunicar o incidente à Autoridade Nacional de Proteção de Dados (ANPD). A função desse órgão é justamente investigar esses vazamentos e aplicar as penalidades devidas. Os titulares dos dados vazados também devem ser informados.
A LGPD, quando aplicada, costuma ser bem rígida com as empresas que são negligentes com os dados de seus clientes. Por exemplo, a Amazon foi multada em US$ 888 milhões por um vazamento de dados. A Netshoes também teve uma multa bem pesada por outro vazamento de dados. Se for confirmado algum tipo de negligência por parte do Habib’s, é bem provável que a rede de fast food também seja multada em valores altos.