Ministério Público investiga brecha que expõe dados no Cadastro Positivo
MPDFT descobriu brecha que permitia hackers roubarem nome completo e nome das mães dos clientes
O Ministério Público do Distrito Federal (MPDFT) instaurou nesta segunda-feira, 13 de janeiro, um inquérito para investigar a possível vulnerabilidade de dados do Cadastro Positivo causada pelo birô de crédito do Boa Vista. Segundo a investigação, dados como nome, sobrenome, CPF e nome da mãe dos clientes estavam disponíveis para hackers e agentes maliciosos.
Ainda não é possível saber quantas pessoas foram afetadas pela brecha, mas o MPDFT acredita que os dados não foram acessados por terceiros - é por isso que trata o caso como vulnerabilidade e não vazamento de dados.
A investigação começou após uma denúncia de um cliente que acessou o site do Boa Vista para pedir a retirada de seu nome do Cadastro Positivo. Ao entrar uma única vez com o CPF, a plataforma já informou seu nome completo - esse processo é mais complexo no site da Receita Federal, por exemplo, que exige o processo em duas etapas.
Posteriormente, o MPDFT detectou que era possível extrair o nome da mãe dos clientes na área de desenvolvedores do site. Com essas informações, era possível obter outros dados pessoais em outros sites e instituições, como Receita Federal e Justiça eleitoral.
O Boa Vista afirma que foi notificado formalmente sobre o caso, e disse: "As investigações internas até o momento não constataram qualquer vulnerabilidade em relação à base de dados do Cadastro Positivo."
O Estado apurou que o MPDFT enviou ao Boa Vista na quarta, 15, recomendações para que a falha seja corrigida. A empresa terá três dias úteis para dizer se acata as recomendações e outros cinco dias úteis para resolver o problema. Caso não resolva o problema e os dados sejam vazados, o Boa Vista Pode ser alvo de uma ação cívil pública coletiva por danos morais aos clientes.
De acordo com o regulamento do Cadastro Positivo, os birôs tem 48 horas para comunicar falhas de segurança ao Banco Central à Secretaria Nacional do Consumidor e a Autoridade Nacional de Proteção de Dados (ANPD), agência que será responsável pela fiscalização da privacidade dados quando a Lei Geral de Proteção de Dados (LGPD) entrar em vigor em agosto desde ano.
