Procon-SP notifica Mercado Livre para esclarecer ataque hacker

O Mercado Livre recebeu na terça-feira (8) uma notificação do Procon-SP pedindo explicações sobre o recente vazamento de dados de cerca de 300 mil clientes da plataforma. O fato foi confirmado pela própria empresa na segunda-feira (7).

• Mercado Livre confirma exposição de dados de usuários
• Como evitar golpes no Mercado Livre

O órgão de defesa do consumidor deu até esta sexta-feira (11) para a marketplace com matriz na Argentina esclarecer algumas questões, como:

• Quando a empresa constatou o problema;
• Quais serviços de atendimento foram atingidos;
• Quantos consumidores foram afetados;
• Quais transações e operações foram (e ainda estão) comprometidas;
• Quais os impactos para o consumidor;
• Se o banco de dados da empresa foi afetado
• Quais os tipos de informações comprometidas.

A companhia também deverá explicar quais providências e protocolos de segurança foram adotados, quantas reclamações foram registradas nos canais da empresa e se esses consumidores estão sendo direcionados para um canal específico de atendimento.

Mercado Livre x LGPD

O Procon-SP também quer que a empresa comprove se adota medidas técnicas e administrativas de segurança para proteger os dados pessoais dos clientes contra ciberataques, além de situações acidentais ou ilegais de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, como prevê o artigo 46 da Lei Geral de Proteção de Dados (LGPD).

A empresa deverá também esclarecer:

• Se tem um encarregado de dados (data private officer, como o cargo também é conhecido) nomeado;
• Se realizou treinamento dos seus colaboradores sobre a aplicação da LGPD;
• Apresentar outras informações (declaração de equipe dedicada de resposta a incidentes; procedimentos para análise de incidente com dados pessoais; medidas tomadas para mitigar danos e relatório de impacto).

O que diz o Mercado Livre

Procurado pelo Canaltech, o Mercado Livre diz que responderá ao Procon dentro do prazo. A empresa já  havia adiantado na segunda (7), via e-mail aos clientes, que ativou protocolos de segurança e estão medidas "rigorosas" para evitar novos incidentes.

Os e-mails também traziam dicas de proteção contra ataques de phishing, como ignorar contatos que venham em nome do e-commerce, a troca de senha de tempos em tempos e a ativação de sistemas de autenticação em duas etapas.

A  plataforma também afirma que nhouve acesso às contas dos usuários. "Embora dados como nome, e-mail e telefone de aproximadamente 300 mil usuários (de quase 140 milhões de usuários ativos únicos) tenham sido acessados, não encontramos nenhuma evidência de que nossos sistemas de infraestrutura tenham sido comprometidos ou que tenham sido obtidas senhas de usuário, saldos em conta, investimentos, informações financeiras ou de cartão de pagamento", disse a empresa. 

Entenda o ataque hacker ao Mercado Livre

Na segunda-feira (7), o Mercado Livre confirmou, por e-mail enviado a alguns clientes, a exposição de dados pessoais como resultado de um acesso não autorizado. Na mensagem, o e-commerce associa essa exposição ao vazamento do código-fonte do Mercado Livre e também do Mercado Pago.

Indícios apontam que o grupo hacker Lapsus poderia estar por trás do ataque. Em uma postagem realizada no grupo de Telegram da equipe de cibercriminosos, uma enquete perguntava qual os próximos dados que os membros do chat gostariam de ver sendo vazados.

As opções eram o código-fonte e a base de dados da Impresa, maior grupo de mídia de Portugal; o código-fonte e mais 5 mil repositórios do GitHub relacionados à operadora Vodafone e, por fim, o código-fonte do Mercado Livre e do Mercado Pago. No entanto, a enquete tinha prazo de encerramento para o próximo domingo (13), às 22h. Até o fechamento desta notícia, a Vodafone liderava a escolha, com 56%, seguido do Mercado Livre, com 34%, e Impresa, com 10%.

O Lapsus vem se configurando como um dos principais grupos de ameaças cibernéticas em 2022. Além do ataque à Samsung, que resultou no vazamento de 190 GB de dados da empresa, o grupo também foi responsável pelos problemas que o Ministério da Saúde do Brasil enfrentou em dezembro passado, que deixaram a plataforma ConecteSus semanas fora do ar.

Além disso, o Lapsus também foi o responsável pelo ataque digital que deixou as operações do Submarino e das Americanas alguns dias fora do ar em fevereiro, e o ataque que vazou dados da Nvidia no final do mês passado.

Fonte: Procon-SP