O Ministério Público do Distrito Federal e Territórios (MPDFT) obteve acesso a duas listas de credenciais vazadas da Netshoes, contendo informações sobre 1.999.704 contas. Os dados incluem nome completo, e-mail, CPF, data de nascimento, entre outros.

Segundo o MPDFT, este é “um dos maiores incidentes de segurança registrados no Brasil”, e por isso está recomendando à Netshoes que entre em contato com os clientes afetados.

O ministério pede que a empresa envie carta com aviso de recebimento (AR), ou faça uma ligação, avisando que os seguintes dados pessoais foram comprometidos:

nome do cliente;

CPF;

e-mail;

data de nascimento;

número do pedido;

valor do produto;

data de compra do produto;

forma de pagamento (cartão ou boleto; dados de cartão de crédito não foram expostos);

código de referência do produto.

Caso a Netshoes não faça isso, o MPDFT vai abrir uma ação civil pública por danos morais e materiais causados aos consumidores.

O ministério diz que a Netshoes até entrou em contato com alguns clientes afetados, mas apenas enviando um e-mail genérico sobre segurança — medida que foi descrita como “insuficiente”.

O órgão também pede que a empresa não faça qualquer tipo de pagamento à pessoa que vazou os dados, “seja na forma de moeda física ou de criptomoeda”, sob pena de crime de fraude processual. A Netshoes sofreu tentativa de extorsão, diz o MPDFT, e a Polícia Federal recebeu um requerimento para abrir uma investigação e identificar os responsáveis.

O incidente afetou servidores públicos politicamente expostos, dado que os e-mails vazados incluem domínios da Presidência da República (@presidencia.gov.br), Supremo Tribunal Federal (@stf.jus.br), Polícia Federal (@dpf.gov.br), Câmara dos Deputados (@camara.leg.br), entre outros. O MPDFT abriu um Inquérito Civil Público para investigar o vazamento.

A recomendação foi elaborada pela Comissão de Proteção dos Dados Pessoais do MPDFT. Criada em novembro de 2017, trata-se da “primeira iniciativa brasileira que trata exclusivamente da proteção da privacidade e dos dados pessoais”.

A Netshoes tem três dias úteis para dar uma resposta ao MPDFT.

Em comunicado ao Tecnoblog, a empresa diz:

A Netshoes comunica que, após minuciosa apuração interna – que contou com apoio de empresa especializada em segurança digital e comunicação à Polícia Federal desde o início do caso – chegou-se à conclusão, em linha com comunicados anteriores da companhia, de que não há qualquer indício de invasão à sua estrutura tecnológica.

Desde o primeiro momento em que foi noticiado o vazamento das informações – cuja origem segue sendo investigada -, todas as providências jurídicas e tecnológicas cabíveis foram tomadas. Durante todo o processo, o objetivo foi solucionar o crime virtual, não ceder a qualquer extorsão e proteger seus consumidores.

A empresa reforça que adota todas as medidas e melhores práticas de segurança da informação e que não negocia, nem nunca negociará, com criminosos.

E, por fim, a Netshoes informa que confia nas autoridades competentes para a identificação do autor do ato ilícito.

Com informações: MPDFT, G1. Atualizado em 27/01.