Dois relatórios recebidos pelo TecMundo no começo de novembro expõem cerca de 15 mil brasileiros clientes da fabricante de automóveis de luxo BMW. As planilhas fornecem detalhes que vão de nomes completos até renda mensal.
No dia 18 de novembro, foram entregues ao TecMundo dois relatórios chamados “BMW Clientes” e “High Income Multimilionarios”, assinados pelo “brazilian hacker Joao do Cao”. Neles, é possível acompanhar dados como: nome completo, email, CPF, CNPJ, data de nascimento, email, número telefônico, endereço residencial/corporativo completo, empresa relacionada e renda mensal declarada.
Os clientes que possam ser afetados serão, naturalmente, informados
Os documentos apresentam cerca de 46 mil registros, contudo, após a exclusão de duplicados, o vazamento atinge cerca de 15 mil cidadãos. A lista “BMW Clientes” traz informações de 14.856 pessoas, já a “High Income Multimilionarios” expõe 113 clientes.
“O arquivo foi gerado aos poucos por meio de concessionárias da BMW”, explica a fonte anônima ao TecMundo. “Houve uma troca de sistemas no fim de 2023, na parte de financiamento, e o novo sistema teria subido com vulnerabilidades que permitiram aos vendedores o acesso em massa aos dados que não eram de clientes deles”, pontua.
Amostra do vazamento de dados censurada
A fonte ainda explica que teve acesso aos dados expostos porque “um vendedor BMW de Brasília (DF) estava colecionando esses dados e chegou a vendê-los para corretores de imóveis e outros profissionais. Ele segmentava por renda”.
O TecMundo entrou em contato com a BMW Brasil para um posicionamento. A empresa comenta: “A privacidade e o manuseio responsável dos dados dos clientes são as principais prioridades do BMW Group. O BMW Serviços Financeiros do Brasil considera essa questão muito importante. A empresa está investigando um incidente em relação à segurança das informações de dados. Os clientes que possam ser afetados serão, naturalmente, informados. A empresa reforça seu compromisso de manter a segurança de seus sistemas, protegendo os dados dos clientes contra acessos não-autorizados”.
Não só o posicionamento, em conversa com o TecMundo, a BMW Brasil afirma que está investigando os fatos e que não encontrou vulnerabilidades atuais no sistema. Além disso, que as informações presentes nas planilhas seriam de 2016.
Segundo Luciano Martini, analista de segurança da informação da NZN que auxiliou a reportagem na verificação dos dados, “vazamentos de informações pessoais na internet podem resultar em riscos sérios que vão além da perda de privacidade, como o uso de engenharia social”.
“Os dados podem ser usados para confirmar sua identidade em teleatendimentos e outros sistemas se passando por aquele que teve os dados vazados e, assim, o cibercriminoso pode contratar serviços ou realizar empréstimos em nome da vítima”, explica Martini.
Empresas também sofrem exposição de dados ou manipulação interna sem autorização. Martini pontua que vazamentos do tipo podem causar prejuízo financeiro, danos à reputação e perda de confiança dos clientes.
“Além disso, a BMW pode ser responsável por cumprir as leis e regulamentações aplicáveis em relação à proteção de dados pessoais, o que pode incluir notificar os clientes afetados, cooperar com as investigações regulatórias e implementar medidas de segurança reforçadas para prevenir futuros vazamentos. Portanto, é essencial que as empresas tomem a privacidade e a segurança dos dados dos clientes a sério e adotem práticas rigorosas de segurança para minimizar o risco de vazamentos, como por exemplo a adoção de normas de segurança em seu sistema de gestão”, finaliza.
Os perigos de vazamentos do tipo
Vazamentos do tipo são perigosos porque favorecem ações cibercriminosas como o phishing direcionado, a abertura de contas laranjas e outras. O phishing direcionado, por exemplo, permite que criminosos enviem mensagens falsas especialmente desenvolvidas para maior sucesso contra um único alvo.
É importante seguir os seguintes passos:
- Usar segundo fator de autenticação (2FA) em todas as contas via app terceiro (Google Authenticator, Microsoft Authenticator, Authy etc), não usar SMS
- Checar movimentações financeiras no Registrato do Banco Central
- Checar vazamentos de emails e senhas em Have I Been Pwned
- Evitar o clique em mensagens urgentes que cheguem via SMS, email e apps mensageiros (sempre checar, em caso de dúvida, canais oficiais)
Categorias
