• New Page 1

    RSSFacebookInstagramTwitterYouTubeYouTubeYouTubeYouTubeYouTubeYouTubeYouTube  

    AGÊNCIA JF | Social - Repositório

Rock in Rio: hacker invade sistema e pega até cartões bancários

por | |

Por duas vezes em menos de um ano, um hacker invadiu sistema da Clique Retire, empresa de guarda volumes que atua em grandes eventos como o Rock In Rio e o Tomorrowland, e teve acesso a uma série de dados pessoais, incluindo números de cartões bancários e cópias de documentos de identidade.

A empresa escondeu o fato de seus clientes ao longo de 15 meses, tempo mais do que suficiente para criminosos terem usado os dados pessoais para realizarem golpes e fraudes.

3 imagens

Clique Retire em edição do Rock In Rio

Clique Retire em edição do Rock In Rio
1 de 3

Clique Retire em edição do Rock In Rio

Divulgação

2 de 3

Clique Retire em edição do Rock In Rio

Divulgação

3 de 3

Clique Retire em edição do Rock In Rio

Divulgação

A primeira invasão foi identificada pela Clique Retire em 26 de dezembro de 2023, cerca de dois meses depois do Tomorrowland 2023. Na ocasião, o hacker invadiu o site de “Achados e Perdidos” da empresa e teve acesso a imagens de itens perdidos, o que incluíam cópias de documentos de identidade, com nomes, CPFs e filiações das pessoas, e cartões bancários.

Já a segunda invasão foi identificada em 16 de setembro do ano passado, em meio ao Rock in Rio. O hacker invadiu o sistema de pré-reserva de lockers e teve acesso ao banco de dados de clientes da empresa, como nomes, CPFs, números de telefone e de passaporte e datas de nascimento.

Procurada, a Clique Retire afirmou à coluna ter realizado apuração interna que concluiu que “não foram encontradas evidências de que os dados de usuários tenham sido expostos ou vazados na internet”. A empresa se recusou a informar quantas pessoas foram atingidas. A companhia, no entanto, anuncia ter mais de 20 mil usuários.

O caso passou a ser investigado pelo Ministério Público e pela Autoridade Nacional de Proteção de Dados (ANPD). O órgão do governo federal, por meio da Coordenação de Tratamento de Incidentes de Segurança (TIS), abriu um procedimento sobre as invasões no dia 27 de janeiro deste ano.

Somente no início deste mês de abril – 15 meses após o primeiro incidente do Tomorrowland 2023 e sete meses após a caso envolvendo o Rock in Rio 2024 –, a Clique Retire publicou em seu site um informe acerca das invasões.

A empresa explicou que as vulnerabilidades foram corrigidas e indicou que seus clientes devem trocar senhas em plataformas que eventualmente utilizem os mesmos dados e ficar atentos com contatos suspeitos.

Enquanto omitiu as invasões de seus clientes, a Clique Retire divulgou release, após o Rock in Rio 2024, alegando ter demonstrado “mais uma vez sua capacidade de operar em eventos de grande porte”.

“Com uma operação robusta de guarda-volumes, a empresa ofereceu aos participantes a segurança de armazenar seus pertences e a conveniência de carregar seus dispositivos móveis durante o festival”, alegou a companhia à época.

“O evento, que atraiu um grande público, foi uma oportunidade para a Clique Retire mostrar a escalabilidade de suas soluções e sua eficiência operacional em cenários com alta demanda, reforçando a confiabilidade dos serviços oferecidos”, prosseguiu.

Em seu site, a Clique informa ter mais de 20 mil usuários e mais de 1 mil pontos instalados em todo o país. A empresa atua nos setores de logística, varejo, condomínios e eventos. Além de Rock In Rio e Tomorrowland, companhia atua no Lollapalooza, na Gamecon e em carnavais.

O que diz a ANPD sobre vazamento envolvendo Rock in Rio e Tomorrowland

Procurada, a ANPD enviou a seguinte nota:

“A LGPD impõe aos controladores, em seu art. 48, o dever de comunicar aos titulares e à ANPD a ocorrência de incidentes de segurança que possam causar riscos ou danos relevantes aos titulares.

É considerado um incidente de segurança, evento adverso confirmado que comprometa as propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.

O cumprimento dessa obrigação junto à ANPD e aos titulares afetados, se dá no processo de Comunicação de Incidente de Segurança (CIS).

Assim que a comunicação é recebida, a análise do incidente é iniciada pela ANPD, que poderá solicitar ao responsável a adoção imediata de medidas para correção de falhas de segurança e impedir novos vazamentos, bem como orientar sobre ações para a melhoria do tratamento dos dados. Além disso, eventuais sanções, como advertências ou multas, poderão ser aplicadas, caso haja irregularidades, observados o contraditório e a ampla defesa.

Caso o incidente não seja comunicado, a ANPD pode agir de forma ativa, abrindo processos de apuração, ou ainda receber petições e denúncias, que podem ser encaminhadas pelos próprios titulares afetados.

Informamos, ademais, que os comunicados de incidentes de segurança encaminhados à ANPD incluem informações sobre requisitos técnicos de sistemas ou de incidentes de segurança, cuja divulgação poderia colocar em risco a segurança de pessoas e instituições, podendo ainda expor vulnerabilidades e comprometer a segurança da organização, nos termos do art. 15, §1º do Decreto nº 10.748/2021.

Entretanto, considerando que o incidente de segurança em questão é de conhecimento público, confirmamos o recebimento da comunicação do incidente de segurança respectivo pela Coordenação de Tratamento de Incidentes de Segurança da ANPD. O processo teve a análise concluída após a confirmação de que o controlador executou todas as medidas determinadas pela ANPD, que tiveram como foco a sua recondução a uma situação de conformidade legal”.

Adicionar aos favoritos o Link permanente.