Boa Vista SCPC (Serviço Central de Proteção ao Crédito), une société d’analyse de crédit qui est en concurrence avec Serasa et SPC, enquête pour savoir si elle a été envahie par des pirates informatiques dans la nuit de dimanche à dimanche (2). Il contient 350 millions de données personnelles sur les franchisés, dont le CPF, l’adresse et les informations financières historiques.
La compagnie ne confirme pas l’attaque, mais trois experts entendus par Folha pensent qu’elle a été réellement envahie. Le collectif de hackers Fatal Error Crew en a assumé la responsabilité, affirmant avoir réussi à accéder à la base de données de Boa Vista.
Sommaire
“Je vous suggère de changer tous vos mots de passe rapidement.”
“Nous ne publions aucune information provenant d’un franchisé, car nous attachons une grande importance à la protection de sa vie privée. Cependant, je suggère de changer tous leurs mots de passe rapidement”, a déclaré le collectif à Pastebin (le message a été supprimé). Les pirates informatiques estiment que Boa Vista ne devrait pas posséder “les données personnelles de tous les détenteurs de franchise, même s’ils n’ont pas de dettes”.
Le message fait également référence à la campagne de Ciro Gomes, qui promet de rembourser les dettes de consommation au SPC (Service de protection du crédit) avec le projet Clean Name. “Ciro Gomes, juste pour dire que noix prend le nom de tout le monde au CPS”, écrit le collectif.
Igor Rincon de la société de sécurité de l’information Flipside pense que les pirates informatiques ont utilisé des failles récemment révélées pour pirater les serveurs de la société. Si elle n’a pas installé les mises à jour les plus récentes, elle peut avoir été vulnérable.
La loi sur les données personnelles imposera une amende pouvant aller jusqu’à 50 millions
A Loi générale sur la protection des données personnelles obligerait Boa Vista à notifier l’invasion à l’ANPD (Autorité nationale de protection des données). Il existe plusieurs sanctions possibles, allant d’un avertissement à une amende équivalente à 2 % du chiffre d’affaires, limitée à 50 millions. Cependant, la loi n’entrera en vigueur qu’en 2020 ; et cette agence doit encore être créée.
Dans une déclaration, Boa Vista indique qu’il s’efforce de “déterminer l’origine et l’étendue de l’incident possible”. Si elle confirme l’invasion, elle promet d’adopter “toutes les mesures techniques et juridiques pertinentes”.
Ceci est un message original du collectif Fatal Error Crew :
La SCPC BoaVista m’enlève un doute : qui vous autorise à posséder les données personnelles de tous les franchisés même s’ils n’ont pas de dettes ? Ne pensez-vous pas que c’est mal ? Profiter encore plus des données personnelles de tous les franchisés.
Nous ne publions aucune information provenant d’un franchisé parce que nous apprécions leur respect de la vie privée, mais je leur suggère de changer tous leurs mots de passe rapidement, ne soyez pas dupes : nous surveillons toutes leurs bases de données depuis quelques années maintenant.
Ciro Gomes, dites simplement que noix prend le nom de tout le monde de SPC.