Atualizada nesta segunda-feira, 29, às 15h38, com novo comunicado da Netshoes
O Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou, nesta quinta-feira, 25, que o site de compras Netshoes, especializado em artigos esportivos, avise, por telefone ou correspondência, 1.999.704 milhões de clientes a respeito de um vazamento de dados, ocorrido a partir de uma falha de segurança na empresa. No pedido, o promotor Frederico Meinberg diz se tratar de "um dos maiores incidentes de segurança já registrados no Brasil".
Segundo o MPDFT, a brecha, revelada no início deste mês, fez com que informações pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras fossem revelados a hackers – o órgão recomendou ainda que a empresa não faça nenhum tipo de pagamento aos cibercriminosos que causaram a falha de segurança.
De acordo com Meinberg, a atuação é necessária, "diante da gravidade dos fatos, do risco de prejuízos graves aos consumidores e da quantidade de titulares dos dados pessoais afetados", destacou. Para o pesquisador em telecomunicações do Instituto Brasileira de Defesa do Consumidor (Idec), Rafael Zanatta, o caso é inédito no Brasil – isso porque, como o País não tem uma lei específica de proteção de dados pessoais, nem uma autoridade independente responsável por supervisionar a questão por aqui, o Ministério Público do Distrito Federal assumiu tal responsabilidade.
Entre os usuários afetados, diz o pedido do MPDFT, há contas de emails de servidores públicos, como da Presidência da República, do Supremo Tribunal Federal, da Polícia Federal e Advocacia-Geral da União. "Isso abre espaço para um potencial de dano enorme. Muita gente no Brasil usa a mesma senha para diversas contas. Com esse vazamento, pode se comprometer não só informações pessoais, mas também habilitar o acesso a emails institucionais de assuntos sensíveis do País", avalia Zanatta.
O MPDFT deu à Netshoes o prazo de três dias úteis para avisar os quase 2 milhões de consumidores sobre o vazamento dos dados. Segundo o pedido, a comunicação só será considerada válida com confirmação de recebimento dos usuários. Caso isso não aconteça, a empresa poderá ser acionada na Justiça por danos morais e materiais causados aos consumidores.
Procurada pelo Estado, a Netshoes respondeu que "após minuciosa apuração interna chegou-se à conclusão de que não há qualquer indício de invasão à sua estrutura tecnológica". A empresa disse ainda que "todas as providências jurídicas e tecnológicas cabíveis foram tomadas (...) e que confia nas autoridades competentes para a identificação do autor do ato ilícito".
Para o pesquisador do Idec, os usuários devem pressionar a empresa para tomar as atitudes necessárias e mitigar os danos. "Como não existe regra clara na lei sobre o que deve acontecer em um incidente de segurança, as empresas só respondem quando há pressão popular ou das autoridades."
No ano passado, a Netshoes abriu capital na Bolsa de Nova York – neste momento, as ações da empresa operam com forte alta de 5% no mercado norte-americano.
