Peça número? McDonald’s sofre ataque e CPFs e celulares são vazados na internet

Uma notícia causou indigestão de muitos brasileiros nesta semana. Dados de clientes da gigante McDonald’s vazaram. O ataque cibercriminoso resultou na exposição de dados pessoais de CPFs e até números de celulares de alguns clientes. O aviso do vazamento aparece em um e-mail que está sendo enviado para os consumidores atingidos.

O ataque foi confirmado pela Arcos Dorados, responsável pela operação do McDonald’s no Brasil e restante da América Latina e Caribe. De acordo com as informações, um incidente permitiu que terceiros tivessem acesso a dados pessoais. Vazaram nomes, estados civis, endereços, e-mails, CPFs e números de telefone de uma “quantidade muito limitada” da base de clientes dos restaurantes, com todos sendo notificados. O alerta fala apenas que as informações foram “desprotegidas”, não informando um eventual download ou compartilhamento.

Além disso, em comunicado enviado à imprensa, afirma já ter comunicado a Autoridade Nacional de Proteção de Dados (ANDP) e que tomou as medidas cabíveis para resolver o problema, agindo para reforçar as medidas de proteção aos dados pessoais de seus clientes. Essa comunicação do vazamento é uma das exigências da Lei Geral de Proteção de Dados (LGPD).
Esse caso vem semanas após a Arcos Dorados aparecer, ao lado de outras grandes companhias globais, em um volume vazado da empresa de software Globant. Obra do grupo Lapsus, o ataque levou à exposição de códigos-fonte de diferentes clientes da desenvolvedora, incluindo também a Apple, Facebook, DHL e o banco BNP Paribas.
Diante do vazamento, é claro que os clientes da rede precisam ficar atentos. A principal recomendação é sobre a e-mails e mensagens de texto que cheguem em nome do McDonald’s – nada de clicar em links ou fornecer dados pessoais. Links maliciosos podem disseminar vírus e induzir a downloads de aplicativos falsos.

O McDonald’s não é a primeira gigante do fast food atacada por criminosos no Brasil. Em novembro do ano passado, um megavazamento teria ocorrido da base do banco de dados do Habib’s. Pelo menos 3 milhões de clientes tiveram informações compartilhadas. E tudo estava à venda em pelo menos dois tópicos de um fórum na internet.

Assim como no caso noticiado agora, foram vazadas informações como e-mail, número de telefone, endereço residencial e o CPF. Diferente do caso atual, a empresa não fez nenhuma notificação do vazamento. Muitos clientes ficaram sabendo do vazamento porque o Serasa recebeu a mesma informação. Vale lembrar que a Lei Geral de Proteção de Dados (LGPD) determina, em seu Artigo 48, que incidentes desse tipo devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD), órgão encarregado de investigar episódios assim e aplicar as penalidades. Os titulares dos dados também deveriam ser informados. Como falamos, muitos ficaram sabendo por um e-mail do Serasa.
Os casos servem de alerta para a segurança e também na forma de agir após qualquer problema ser identificado. No ramo da segurança da informação, ninguém quer ser o mais rápido na entrega.