Tecnologia

Dados de 5,4 mi de contas do Estante Virtual foram expostos, alerta serviço de monitoramento

Vazamento parte de uma brecha de segurança em 2019. Na época, o Estante Virtual afirmou que não identificou evidências do incidente
Estante Virtual (Imagem: Bruno De Blasi/Giz Brasil)

O site Have I Been Pwned emitiu um novo alerta de vazamento de dados nesta quarta-feira (29). Segundo a plataforma de monitoramento, informações de 5,4 milhões de contas de usuários do portal brasileiro Estante Virtual estão expostas na internet. O caso parte de uma brecha aproveitada por hackers no começo de 2019.

whatsapp invite banner

A ferramenta criada pelo pesquisador de cibersegurança Troy Hunt emitiu o alerta, após fazer rondas para verificar novas exposições na internet. Ao cadastrar o e-mail, os usuários são alertados caso seus dados estejam disponíveis para venda ou consulta em fóruns e outros canais. O serviço é gratuito.

Aliás, o Firefox Monitor também reportou o caso no mesmo dia.

Dessa vez, o alerta foi direcionado à Estante Virtual. O alerta revive o caso de fevereiro de 2019, quando um hacker conhecido como Gnosticplayers teve acesso à base de dados de seis empresas, segundo o ZDNet, incluindo a livraria.

Confira a lista dos dados comprometidos:

  • Data de nascimento;
  • Endereço de e-mail;
  • Nome;
  • Senhas;
  • Número de telefone
  • Endereço; e
  • Nome de usuário.

Ao todo, o hacker conseguiu vazar 5.412.603 contas.

Entretanto, ainda em 2019, a livraria disse ao TechTudo que apurou os relatos, porém não identificou “qualquer evidência de vazamentos de informações no portal”.

Já o Giz Brasil procurou a assessoria da Estante Virtual para obter novas informações, mas não obteve retorno até o momento de publicação. Atualizaremos esta matéria se houver resposta.

Have I Been Pwned alerta para vazamento de dados a partir de brecha do Estante Virtual (Imagem: Reprodução/Giz Brasil)

Have I Been Pwned alerta para vazamento de dados a partir de brecha do Estante Virtual (Imagem: Reprodução/Giz Brasil)

Como saber se os meus dados foram expostos?

Tanto o Have I Been Pwned quanto o Firefox Monitor são alternativas seguras e gratuitas para verificar se dados relacionados ao seu e-mail vazaram. Para isso, é só acessar os portais e digitar o seu e-mail. As plataformas informam aos usuários quais dados pessoais foram expostos.

Além disso, as duas plataformas também oferecem um serviço de notificação. Dessa forma, elas alertam os usuários pelo e-mail quando identifica novas brechas.

Outros serviços auxiliam na detecção de vazamentos. Assinantes do Google One, por exemplo, contam com um monitor da dark web, que faz rondas periódicas para encontrar novos riscos. Além disso, a ferramenta é mais completa e vai além do e-mail.

Nas configurações, os usuários podem apontar outros dados no perfil de monitoramento: nome, data de nascimento, endereços e telefone, por exemplo.

Meus dados foram expostos. O que fazer?

Antes de qualquer outra coisa, troque a sua senha do Estante Virtual e de outros serviços. Especialmente se você replicou a credencial em outras plataformas.

De acordo com Julio Cesar Fort, sócio e diretor de serviços profissionais da Blaze Information Security, a reutilização de senhas deve ser evitada. O especialista explica que é possível usar a credencial vazada para tentar acessar contas de outros serviços. Entre eles, plataformas sensíveis, como o próprio e-mail, por exemplo.

Também é importante utilizar senhas fortes, com uso de letras maiúsculas, números e símbolos. Por serem únicas, é importante optar por cofres, como o 1Password e NordPass. Além disso, o usuário deve habilitar a autenticação em duas etapas (2FA) nos serviços, quando disponível.

O sócio do Serur Advogados, Fabricio da Mota Alves, por sua vez, explicou ao Giz Brasil que os consumidores têm direito a informações sobre o incidente.

“Ainda que, eventualmente, o vazamento venha a ser classificado, pela empresa ou órgãos de fiscalização, como de risco irrelevante – o que não obrigaria a empresa a notificar titulares e ANPD –, o fato de já ter sido notificado pela imprensa atrai um cenário agora de maior cuidado e atenção”, afirmou. “O que repercute um nível de transparência para além da legislação imposta.”

<yoastmark class=

Incidente ocorreu antes de a LGPD entrar em vigor

Fabricio da Mota Alves lembrou que a LGPD (Lei Geral de Proteção de Dados) não estava em vigor em fevereiro de 2019. Portanto, não é possível responsabilizar a empresa à luz da legislação. Por outro lado, o caso pode ter implicações com base nas normas do CDC (Código de Defesa do Consumidor).

“Mesmo sob esse prisma, e somente após análise concreta de todos os fatores e do contexto do incidente, seria possível entender se há responsabilidade civil ou administrativa da empresa”, disse. “É importante pontuar que o incidente em si pode ter baixa relevância e que o Superior Tribunal de Justiça já decidiu que não há dano moral, ainda mais presumido, em casos dessa natureza.”

Além disso, o advogado observa que a companhia deve rever suas medidas internas e investigar o incidente. Dessa forma, é preciso avaliar o risco e adotar as ações de mitigação e revisão dos sistemas e procedimentos para evitar novos casos.

“Respeitada a peculiaridade de cada caso, os consumidores titulares dos dados podem ter direito a indenização por danos morais ou materiais causados pelo vazamento, na hipótese de prova efetiva do dano sofrido e aplicação, em linha com recentes decisões, em função da data do evento”, apontou Thiago Maroli, sócio do NHM Advogados.

Bruno De Blasi

Bruno De Blasi

Jornalista especializado em tecnologia e carioca da gema. Já passou pelas redações do iHelp BR, Olhar Digital, Tecnoblog e TechTudo. É fã de música, cultura nerd e cinema. Nas horas vagas, está lendo, programando ou tocando baixo.

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas