A empresa de trotinetas elétricas Voi admitiu esta terça-feira que uma entidade externa conseguiu aceder a uma base de dados interna com emails de cerca de 100 mil clientes da empresa — e, em alguns casos, números de telemóvel e nomes de utilizador. Ao que o ECO apurou, a falha também expôs dados de clientes da empresa em Portugal. Nenhuma informação foi roubada e o problema já foi corrigido pela companhia sueca.

“A 11 de março, um jornal alemão, Bayerischer Rundfunk, informou-nos de que contratou uma empresa de cibersegurança para tentar obter acesso não autorizado ao nosso sistema. A empresa usou uma parte inativa do software da Voi para verificar que era capaz de descarregar endereços de email, alguns números de identificação dos utilizadores e alguns números de telefone de cerca de 100 mil utilizadores”, escreveu a empresa numa nota a que o ECO teve acesso.

A empresa de trotinetas elétricas garante que a informação dos cartões de crédito dos utilizadores permaneceu em segurança — porque é armazenada por uma empresa externa, a Stripe — e que os dados dos utilizadores “não estão em risco”, uma vez que a brecha foi perpetrada por uma empresa sem objetivos maliciosos. No entanto, o acesso deu-se sem a autorização ou conhecimento da Voi, segundo aponta a empresa na mensagem escrita em inglês.

Fonte oficial da Voi recusou confirmar se dados pessoais de utilizadores portugueses também foram acedidos pela empresa terceira, indicando que essa informação é “confidencial”. E apontou que, “em conformidade com o Regulamento Geral de Proteção de Dados (RGPD), informou os utilizadores afetados sobre o incidente e tomou medidas para garantir” que o problema não volta a acontecer no futuro.

No entanto, o ECO confirmou que entre os utilizadores notificados sobre a falha de segurança estão clientes da empresa em Portugal, onde está disponível em Lisboa e em Faro.

Voi contrata auditoria de segurança

Limites no acesso aos dados dos utilizadores e uma auditoria de segurança por uma empresa externa são duas das medidas adotadas pela Voi, na sequência deste incidente.

“Já aumentámos o nível de encriptação envolvendo o uso de uma chave que só está disponível a pedido, para que possamos ter uma lista completa de quem acede aos dados dos utilizadores a qualquer momento”, disse ao ECO fonte oficial da empresa. E acrescentou: “Estamos a promover uma auditoria de segurança, a ser realizada por uma empresa externa de TI [Tecnologias da Informação].”

Fuga de dados no aluguer de trotinetas elétricas: centenas de milhares de utilizadores afetados é o título do artigo publicado esta terça-feira pelo jornal Bayerischer Rundfunk (acesso gratuito/conteúdo em alemão), dia em que a Voi informou os clientes da falha. “Uma investigação dos nossos jornalistas de dados mostra agora que um dos fornecedores de serviço protegeu de forma insuficiente os dados dos clientes. É a startup sueca Voi, que opera em quatro países europeus”, aponta o jornal.