Enquanto a Americanas S.A não esclarece sobre o “acesso não autorizado” que a obrigou a tirar do ar seus aplicativos e sites Americanas.com e Submarino na madrugada da última segunda-feira, 21, uma série de especialistas em segurança e proteção indicam quais foram os possíveis tipos de ataques.
“O que foi anunciado até então foi um ‘acesso não autorizado’, porém, para realmente manter o site indisponível por tanto tempo, provavelmente foi algum tipo de vírus que deixou os servidores inoperantes”, especula Thiago Cabral, especialista digital da Athena Security. “Pegando pelo outro ataque realizado pelo mesmo grupo [GRUPO LAPSUSS] no Conecte SUS, a grande probabilidade é que tenha sido o mesmo tipo de ataque chamado ransomware, também conhecido como sequestro de dados. Ele criptografa todas as informações dos servidores, deixando elas inacessíveis, e cobra um resgate em bitcoin para poder recuperar os dados”, completa.
Cristian Souza, consultor da Daryus Consultoria, lembra que houve relatos na madrugada de sábado – um dia antes da Americanas derrubar seus servidores – que internautas estavam sendo redirecionados para sites fora do domínio da empresa. Na visão do especialista isso pode indicar que o serviço de DNS (Domain Name Server, no original em inglês, um sistema hierárquico distribuído de gestão de nomes para computadores, serviços ou qualquer máquina conectada à Internet ou a uma rede privada) pode ter sido alterado por um invasor.
Por sua vez, Michele Peixoto Milezi, supervisora de LGPD da Russell Bedford Brasil, também desconfia que o ataque é de sequestro de DNS – também conhecido como redirecionamento de DNS – e que foi feito pelo GRUPO LAPSUSS.
A executiva explicou que o ataque de DNS faz com que as consultas de DNS sejam resolvidas incorretamente para redirecionar os usuários para sites de interesse dos atacantes: “Para realizar o ataque, os cibercriminosos instalam malware nos computadores dos usuários, assumem o controle de roteadores ou interceptam e hackeiam a comunicação DNS”, relatou.
Vale dizer, a Americanas é a líder do m-commerce nacional, segundo a mais recente pesquisa do Panorama de Apps Mobile Time/Opinion Box sobre o tema.
Defesa ao consumidor
O Procon-SP notificou a Americanas na noite de última segunda-feira, 21. O órgão de defesa do consumidor pede explicações sobre problemas que ocorreram nos sites, em especial:
– Quando o problema foi constatado;
– Qual a previsão para sua regularização;
– Quais providências e procedimentos relativos aos protocolos de segurança foram implementados;
– Quais medidas foram tomadas para mitigar possíveis danos decorrentes do ataque noticiado;
– Tipos de transações e operações que foram comprometidas;
– Se os bancos de dados da empresa foram afetados;
– Os impactos ao consumidor.
A Americanas também deve informar sobre arrependimento de compra, possibilidade de troca ou reparo de produto comprado, se possui um DPO e se os seus funcionários passaram por treinamento de Lei Geral de Proteção de Dados (LGPD).
O Procon-SP foi procurado por esta publicação para esclarecer sobre outros pontos, como a posição dos vendedores que estão no marketplace, mas não respondeu até o final da reportagem.
“O marketplace é como um shopping online. Difere-se da loja virtual que é apenas uma loja na internet. Dessa forma, os serviços oferecidos pelas plataformas no modelo de marketplace (shopping virtual) envolve dados de pessoas físicas (consumidores), como nome, endereço, CPF (…). Esta vasta gama de informações dos indivíduos faz da ferramenta uma oportunidade de sequestro de dados por parte de hacker”, explica a supervisora da Russell Bedford. “Os prejuízos do ataque são voltados aos comerciantes (rede de fornecedores) e consumidores, na medida que há a impossibilidade de realização de transações, falta da entrega, prejuízos de ordem financeira, visibilidade da plataforma, reputação empresarial maculada e de vulnerabilidade quanto à identificação das pessoas envolvidas”, completou.
LGPD
Esta publicação procurou a Agência Nacional de Proteção de Dados (ANPD) para entender se o órgão abriu uma sindicância ou se Americanas entrou em contato e alertou sobre um possível vazamento de dados. Em resposta, o regulador afirma que “os processos de comunicação de incidentes de segurança na ANPD são de acesso restrito” por imposição legal, em respeito ao sigilo comercial e industrial.
“Na hipótese de o controlador confirmar que o incidente de segurança envolve dados pessoais e implica em risco ou dano relevante, deverá comunicar sua ocorrência tanto à ANPD quanto aos titulares afetados. Eventual omissão do dever de comunicação por parte do controlador pode configurar infração ao artigo 46 da LGPD”, diz em nota enviada por e-mail.
“A partir da comunicação do incidente, a ANPD tomará as ações cabíveis levando em consideração, dentre outros, a natureza dos dados e o número de titulares afetados, as medidas de segurança técnicas e administrativas adotadas, as ações de mitigação dos efeitos do incidente adotadas pelo controlador. Havendo infração à LGPD, o controlador estará sujeito às sanções previstas em lei”, completa.