Em 17 de julho foi divulgado pelo Tecmundo a notícia de um arquivo disponibilizado via Pastebin, com nome de usuários e senhas para as principais plataformas de ecommerce do Brasil e alguns serviços de hospedagem. Estão na lista Netshoes, Extra, Centauro, Casas Bahia, PagSeguro, Terra, eFácil, Ponto Frio, HostGator etc.
Não se pode afirmar seja autêntica, o fato é que existem aproximadamente 360 logins e senhas e segundo o site o arquivo poder ser uma amostra. Não se trata de um vazamento em massa, porém alguns alertas são válidos. O site não divulgou o arquivo pois logicamente poderia ser utilizado por criminosos.
Ao que parece as contas publicadas estavam desativadas. De qualquer maneira, as vitimas devem diante deste cenário trocar imediatamente as senhas destes serviços. Caso a senha não entre, pode ter sido alterada, momento em que é importante um contato telefônico com as lojas virtuais. É preciso rememorar quais sites online o usuário já comprou e para isso, vale avaliar a caixa de correio eletrônico e outros documentos digitais.
Não se sabe se os dados foram obtidos por meio de phishing scam (e-mails e sites falsos) ou por meio de algum código malicioso nos clientes. Neste sentido, aqueles que perceberem qualquer atividade anômala poderem realizar uma perícia digital em seu equipamento, através de um especialista, de modo identificar a origem de alguma exploração maliciosa. Não é porque conseguiram acesso a conta que hackers poderão comprar produtos, mas no mínimo podem ter acesso a dados cadastrais e em alguns casos sim, acesso a dados cartões de crédito.
De se destacar que diferentemente do Brasil, nos Estados Unidos a lei obriga as empresas a reconhecerem e publicarem os vazamentos de dados. Aqui, o projeto de proteção de dados pessoais trata deste tema, mas longe está de ser uma legislação. As lojas Centauro e Netshoes se manifestaram no sentido de não terem sofrido qualquer ataque, o que leva a crer tenham os dados coletados ou obtidos diretamente dos consumidores.
Logicamente, as vitimas, caso a vulnerabilidade seja nas lojas virtuais, poderão buscar a reparação judicial e a responsabilização das mesmas pelos danos causados, considerando que disponibilizaram um serviço “em tese” vulnerável e que pode ter lesado o consumidor. Por outro lado, se a loja demonstrar em juízo por meio de uma perícia em informática que seu sistema não foi violado, comprovando culpa exclusiva do consumidor ou exploração de vulnerabilidade em seu equipamento, pode não ser condenada a reparar e ser absolvida de um processo ou ação reparatória. A batalha é técnica e consiste em provar quem estava seguro e quem estava vulnerável e quem deu causa ao vazamento dos dados. Um especialista (expert do juízo) pode ser nomeado para solucionar a controvérsia.
Seja como for, para o Direito Digital, sem prejuízo do crime pela obtenção indevida de dados, o acesso indevido por meio login e senha, violando mecanismo de segurança ou autenticação é crime, previsto na lei de crimes informáticos, lei 12.737/2012 (Carolina Dieckman) . É possível, igualmente, medida judicial em face do Pastebin, para que forneça os registros de acesso à aplicação daqueles que postaram o conteúdo. Embora a principio permita colagens anônimas, não se admite que o serviço não registre de alguma forma os dados de conexão de seus utilizadores.
José Antonio Milagre é advogado especializado em Direito Digital e Crimes na Internet. Perito em Informática.
facebook.com/josemilagreoficial
