A Boa Vista SCPC (Serviço Central de Proteção ao Crédito), empresa de análise de crédito que concorre com Serasa e SPC, está investigando se foi invadida por hackers na noite de domingo (2). Ela tem 350 milhões de dados pessoais de brasileiros, incluindo CPF, endereço e informações de histórico financeiro.

A empresa não confirma o ataque, mas três especialistas ouvidos pela Folha acreditam que ela foi mesmo invadida. O coletivo hacker Fatal Error Crew assumiu a responsabilidade, dizendo que conseguiu acessar a base de dados da Boa Vista.

“Sugiro mudarem todas suas senhas logo”

“Não postamos nenhuma informação de nenhum brasileiro, pois prezamos pela privacidade dos mesmos. Porém, sugiro mudarem todas suas senhas logo”, disse o coletivo no Pastebin (a mensagem foi removida). Os hackers acreditam que a Boa Vista não deveria possuir “dados pessoais de todos os brasileiros, mesmo que eles não possuam dívidas”.

A mensagem ainda faz referência à campanha do presidenciável Ciro Gomes, que promete quitar dívidas de consumidores no SPC (Serviço de Proteção ao Crédito) com o projeto Nome Limpo. “Ciro Gomes, só dizer que noix tira o nome de todo mundo do SPC”, escreve o coletivo.

Igor Rincon, da empresa de segurança da informação Flipside, acredita que os hackers usaram falhas recentemente divulgadas para invadir os servidores da empresa. Se ela não instalou as atualizações mais recentes, pode ter ficado vulnerável.

Lei de dados pessoais aplicará multa de até R$ 50 milhões

A Lei Geral de Proteção de Dados Pessoais obrigaria a Boa Vista a notificar a ANPD (Autoridade Nacional de Proteção de Dados) sobre a invasão. Existem várias punições possíveis, desde uma advertência até multa equivalente a 2% do faturamento, limitada a R$ 50 milhões. No entanto, a lei só entra em vigor em 2020; e essa agência ainda precisa ser criada.

Em comunicado, a Boa Vista diz que está trabalhando para “apurar a origem e extensão do possível incidente”. Se confirmar a invasão, ela promete adotar “todas as medidas técnicas e legais pertinentes”.

Esta é a mensagem original do coletivo Fatal Error Crew:

BoaVista SCPC me tira uma dúvida quem autoriza vcs a possuirem os dados pessoais de todos brasileiros mesmo que eles não possuam dívidas? Vcs não acham errado isso? Ainda mais lucrarem com os dados pessoais de todos brasileiros.

Não postamos nenhuma informação de nenhum brasileiro pois prezamos pela privacidade dos mesmos porém sugiro mudarem todas suas senhas logo, não se enganem estamos de olhos em todos seus bancos de dados faz alguns anos.

Ciro Gomes, só dizer que noix tira o nome de todo mundo do SPC.

Com informações: Folha.