Os vazamentos de dados seguem cada vez mais recorrentes e, em julho deste ano, tivemos um bem grande na Netshoes, e-commerce de artigos esportivos. A empresa foi alvo de um grave incidente de segurança cibernética, resultando no vazamento de dados de milhões de usuários e informações de compras.
O vazamento foi revelado em um fórum de cibercriminosos conhecido como BreachForums e expôs dados de aproximadamente 38 milhões de usuários e 40 milhões de registros de compras realizadas entre 2015 e 2024.
O responsável pela divulgação, identificado no fórum como “CaptainJack”, afirmou ter obtido as informações em julho de 2024. No entanto, o método exato de coleta dos dados não foi especificado. Entre as informações vazadas estão CPF, números de telefone, endereços completos, nomes completos, datas de pedidos, números de pedidos, estimativas de entrega e dados sobre fornecedores terceirizados. O vazamento afeta clientes de diversos estados brasileiros, incluindo Minas Gerais, Rio de Janeiro, São Paulo, Paraná e Amazonas.
A Netshoes confirmou o incidente em um comunicado oficial, destacando que, apesar do vazamento, suas operações continuam normalmente. A empresa não forneceu detalhes adicionais sobre a origem do ataque ou medidas específicas que estão sendo tomadas para mitigar os danos e evitar futuros incidentes.
Implicações e problemas decorrentes do vazamento de dados
Os vazamentos de dados não afetam apenas a empresa diretamente envolvida, mas têm um impacto amplo sobre todos os stakeholders, incluindo adquirentes e subadquirentes. Para um e-commerce como a Netshoes, os problemas podem ser extensos e variados:
Impacto na reputação e confiança do consumidor
A exposição de informações pessoais sensíveis pode abalar a confiança dos clientes na empresa. A perda de credibilidade pode resultar em uma diminuição significativa na base de clientes e na receita.
Consequências legais e regulatórias
Empresas que sofrem vazamentos de dados podem enfrentar penalidades e ações legais, especialmente se for constatado que não cumpriram regulamentos de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD) no Brasil.
Danos financeiros
O vazamento de dados pode levar a custos elevados com notificações, monitoramento de crédito para os clientes afetados, e reforço das medidas de segurança. Além disso, podem surgir ações judiciais e multas que impactam diretamente a saúde financeira da empresa.
Impacto sobre adquirentes e subadquirentes
No setor de pagamentos, adquirentes e subadquirentes também podem ser afetados. A exposição de informações de pagamentos e dados pessoais pode levar a fraudes e chargebacks, prejudicando as relações comerciais e a integridade das transações financeiras.
Fraudes em todo ecossistema
Esse tipo de vazamento pode ser utilizado pelos cibercriminosos para aplicar uma série de fraudes. Com os dados vazados e apenas um smartphone em mãos, é possível, por exemplo, a criação de contas falsas ou até mesmo a fusão de dados para a criação de identidades sintéticas, o que leva a outras fraudes.
Além disso, os fraudadores podem realizar um Credential Stuffing. Não sabe o que é isso? Escrevemos um texto recentemente em nosso blog explicando como funciona. Clique aqui e acesse.
Lições e medidas preventivas
O incidente da Netshoes oferece várias lições importantes para empresas que buscam fortalecer sua postura de segurança cibernética e manter o ecossistema seguro. Confira algumas delas
Necessidade de infraestrutura de Cibersegurança robusta
A proteção contra vazamentos de dados começa com uma infraestrutura cibernética sólida. No caso da Netshoes, as medidas implementadas após uma violação anterior em 2019 parecem não ter sido suficientes.
Uma estratégia eficaz deve incluir firewalls atualizados, sistemas de detecção de intrusão e auditorias de segurança regulares. A defesa em camadas é essencial para identificar e neutralizar ameaças antes que causem danos significativos.
Treinamento e conscientização de funcionários
O erro humano pode ser um ponto de vulnerabilidade crítico. Embora a origem do vazamento na Netshoes não tenha sido divulgada, há uma possibilidade de que tenha sido causado por erro de funcionários.
Para mitigar esse risco, as empresas devem investir em programas de treinamento contínuo, que ensinem os colaboradores a identificar tentativas de phishing, gerenciar dados confidenciais com segurança e seguir as melhores práticas para o gerenciamento de senhas.
Planejamento e resposta a incidentes
A eficácia da resposta a um incidente é crucial. Apesar da resposta rápida da Netshoes, a exposição massiva de dados sugere uma falha na eficiência do processo. Um plano de resposta a incidentes bem estruturado deve incluir etapas detalhadas para isolar sistemas afetados, notificar as partes impactadas e cooperar com órgãos reguladores.
Exercícios e simulações regulares são essenciais para garantir que a equipe de resposta esteja bem preparada para lidar com situações reais e minimizar o impacto e o tempo de recuperação.
Como proteger o ecossistema com Machine Learning
Como citamos, não é apenas a Netshoes que pode sofrer com o vazamento de dados. Essa quantidade de dados expostos faz com que as fraudes aumentem. Não à toa, a Associação de Defesa de Dados Pessoais e Consumidor (ADDP), divulgou um levantamento mostrando que houve um aumento de até 35% no número de golpes digitais no ano passado.
As fraudes online já são conhecidas. Os vazamentos só ampliam a possibilidade de os fraudadores aplicarem golpes como roubo de identidade, phishing, testes de cartões, account takeovers, entre outros.
“Mas como podemos proteger as empresas dessas fraudes?”, você pode se perguntar. Uma abordagem eficaz envolve a utilização de algoritmos de Machine Learning, já que eles são capazes de identificar e bloquear ataques em tempo real. Os algoritmos de Machine Learning são treinados para reconhecer padrões normais de comportamento, seja do estabelecimento ou do usuário, como horários de login, geolocalização, e dispositivos utilizados.
Aqui na Glass Data, nossa análise de risco bloqueia os ataques através de uma análise de comportamento do estabelecimento, verificando se o usuário que está realizando determinada atividade é um comprador legítimo.
Além disso, a análise realizada com Inteligência Artificial é em tempo real, possibilitando a detecção de anomalias, como um grande número de tentativas de login falhadas em um curto período.
Nossos modelos preditivos são desenvolvidos de acordo com a necessidade de cada cliente, diferente dos produtos de prateleira que muitas vezes não atendem todas as demandas.
Quer entender mais sobre como podemos ajudar sua empresa a se manter segura e mitigar riscos? Entre em contato com nossos especialistas, basta clicar neste link.
