Pelo menos um servidor da rede C&A foi invadido em (30/08/2018) às 14:47, horário de Brasília. O servidor dava acesso a um banco de dados contendo registros de clientes dos cartões de crédito da empresa. Para comprovar a invasão, os autores publicaram parte dos dados em pelo menos seis endereços da internet, entre os quais o Pastebin. O servidor invadido contém os dados de aproximadamente 4 milhões de clientes. A invasão foi assinada pelos membros j0shua, Elemento_pcx, s4r4d0 e sup3rm4n, do grupo “Fatal Error Crew”.
Em nota distribuída à mídia, o grupo C&A declarou o seguinte: “A C&A detectou na madrugada de hoje um movimento de ciberataque ao seu sistema de vale-presente/trocas. Imediatamente a empresa acionou seu plano de contingência. A companhia também está tomando providências jurídicas para tratar a questão. Em caso de dúvidas, pedimos que os clientes acionem os canais de atendimento da empresa. Reiteramos nosso compromisso com uma atuação pautada pela ética e respeito às leis e que trabalhamos para oferecer a melhor experiência aos nossos clientes, inclusive no ambiente online”.
O texto publicado pelo grupo no Twitter e no Pastebin deixa claro que a invasão foi uma represália à empresa: notícias veiculadas pelo Tecmundo dois dias antes indicaram que foram criados cartões C&A para pessoas que simplesmente haviam comparecido a entrevistas de emprego e não haviam pedido cartão algum. Os cartões foram criados supostamente para que funcionários conseguissem bater as metas mensais determinadas pela empresa.
“O hacker afirmou que estão expostos os dados de quatro milhões de pedidos — dentre eles, afirma que “provavelmente” existem dados de dois milhões de clientes diferentes”
Posicionamento da C&A
“A C&A detectou na madrugada de hoje um movimento de ciberataque ao seu sistema de vale-presente/trocas. Imediatamente a empresa acionou seu plano de contingência. A companhia também está tomando providências jurídicas para tratar a questão. Em caso de dúvidas, pedimos que os clientes acionem os canais de atendimento da empresa. Reiteramos nosso compromisso com uma atuação pautada pela ética e respeito às leis e que trabalhamos para oferecer a melhor experiência aos nossos clientes, inclusive no ambiente online”
O perigo dos vazamentos
Entre os perigos que envolvem este tipo de vazamento, estão os golpes de phishing e a engenharia social. Problemas que podem afetar os clientes nos próximos meses.
Em primeiro lugar, temos o phishing, o principal ataque no Brasil e um dos métodos de ataque mais antigos. Nele, “metade do trabalho” é enganar o usuário de computador ou smartphone. Como uma “pescaria”, o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação.