Netshoes: vazamento atinge 38 milhões de usuários

O ecommerce brasileiro de artigos esportivos Netshoes sofreu um vazamento de dados na manhã desta quarta-feira (17). De acordo com publicação no fórum cibercriminoso BreachForums, cerca de 38 milhões de usuários registrados foram expostos, ao lado de informações sobre 40 milhões de registros de compras.

Um usuário do fórum chamado de “CaptainJack” que realizou a publicação e a invasão aos sistemas da Netshoes. De acordo com ele, os dados foram obtidos em julho de 2024 — o método de coleta não foi informado.

Envolvem clientes de diferentes estados brasileiros, como Minas Gerais, Rio de Janeiro, São Paulo, Paraná e Amazonas

Entre os dados disponíveis no vazamento, estão: CPF, número de telefone (celular ou fixo), endereço completo, nome completo, data de pedidos, número de pedidos, estimativa de entrega de pedidos e informações de fornecedores terceirizados. Especificamente sobre pedidos, os registros envolvem detalhes entre 2015 e 2024.

O TecMundo teve acesso ao sample disponibilizado por “CaptainJack”. Nele, dados pessoais de 104 brasileiros são expostos como prova sobre a alegação de vazamento. Os registros da amostra datam de 2023 e envolvem clientes de diferentes estados brasileiros, como Minas Gerais, Rio de Janeiro, São Paulo, Paraná e Amazonas.

O TecMundo entrou em contato com a Netshoes, que enviou um posicionamento:

"A Netshoes tomou conhecimento, por meio de suas ferramentas de monitoramento, de que foi vítima de um incidente cibernético, que pode ter resultado no vazamento de arquivos contendo dados de clientes. O incidente não envolveu informações sensíveis e não afetou as operações da empresa.

Assim que foi informada sobre o incidente, a Netshoes reforçou todas as medidas de segurança e controle. A empresa também iniciou uma investigação forense sobre o ocorrido e trabalhará juntamente com os órgãos competentes, inclusive com a Autoridade Nacional de Proteção de Dados, para esclarecer as circunstâncias do episódio e evitar eventuais contratempos aos clientes.

A Netshoes opera em estrita conformidade com a lei e está absolutamente comprometida com a segurança da informação, com a transparência e a privacidade, seguindo rigorosos padrões globais, baseados nas melhores práticas de mercado".

Leak

Não foi o primeiro vazamento

O histórico da Netshoes com vazamento de dados não é novo. Em 2017, o TecMundo recebeu um arquivo com meio milhão de dados de clientes. Em 2018, o vazamento aumentou e totalizou 2,5 milhões de expostos.

Então, em 2019, a empresa firmou termo de ajustamento de conduta (TAC) com o Ministério Público do Distrito Federal e Territórios (MPDFT) por um pagamento indenizatório de R$ 500 mil a serem recolhidos ao Fundo de Defesa de Direitos Difusos (FDD).

Durante o acordo, promotor de Justiça Frederico Meinberg Ceroy, coordenador da Espec, comentou que “a assinatura do presente Termo de Ajustamento de Conduta demonstra ser possível a resolução de conflito de forma consensual, com o devido ressarcimento da coletividade ante ao dano moral sofrido, sem, contudo, onerar excessivamente a empresa que colaborou com as investigações do MP”.