Catho informou que invasores acessaram login, nome completo, endereço, e-mail, data de nascimento e senha de pelo menos 195 clientes. Empresa vai exigir redefinição de senha para todos os usuários como ‘medida preventiva’.
linusb4/Freeimages.com
O site de classificados de empregos Catho confirmou um acesso indevido à sua base de dados, no qual invasores acessaram informações de pelo menos 195 clientes. A empresa está obrigando que todos os usuários da plataforma cadastrem uma nova senha.
Segundo o comunicado, foram acessados dados de login, nome completo, CPF, endereço, e-mail, data de nascimento e senha. Dados de pagamento, fotos, biometria e currículos não foram violados. A companhia disse não ter evidências de que a informação roubada foi utilizada pelos invasores.
Também não existem indícios de que a invasão tenha atingido outros clientes além dos 195 que foram identificados, mas a Catho não descartou essa possibilidade. A troca de senhas será obrigatória para todos os usuários “de forma preventiva”, segundo o comunicado.
A investigação do caso começou no dia 7 de junho, quando a Catho recebeu a informação de que dados de sua base poderiam ter sido comprometidos. A companhia revelou o vazamento de dados nesta quarta-feira (10).
Caso o usuário tenha utilizado a mesma senha em outros serviços, a Catho sugere que a senha seja trocada nesses outros serviços também. A reutilização de senhas, embora seja uma prática comum, não é recomendada por especialistas.
Parte das senhas violadas não tinha criptografia
Entre as medidas adotadas para aumentar a segurança dos seus sistemas, a Catho disse que fez mudanças para garantir que senhas sejam armazenadas com “criptografia forte”. O comunicado da empresa não informa como as senhas eram armazenadas antes da invasão.
O blog procurou a empresa para solicitar esclarecimentos sobre esse ponto. A Catho informou que, das 195 senhas, 100 estavam em “hash” e 95 em “texto simples”.
Senhas podem ser armazenadas com “criptografia”, “hash” ou “texto simples”. Senhas armazenadas em texto simples correm alto risco de exposição e são consideradas inseguras. O “hash” e a “criptografia” são opções igualmente válidas, mas devem ser usados de forma correta.
A Catho explicou que as senhas em “hash” foram protegidas usando o método “SHA1” com a adição de “salt”. O “salt” é uma técnica que adiciona variações na fórmula para dificultar o trabalho de invasores. Segundo a empresa, o “salt” não foi comprometido – o que “mitiga o risco” da exposição das senhas, nas palavras da própria empresa.
Quando usadas de forma correta, a criptografia e o hash (em especial os com “salt”) impedem que as senhas sejam expostas imediatamente após um vazamento. Elas podem atrasar a ação dos hackers por meses ou anos, dando tempo suficiente para que a senha seja trocada. Por essa razão, não é recomendado armazenar senhas em texto simples.
Lei não exige divulgação de vazamentos
A lei brasileira atualmente em vigor não exige de forma categórica que empresas venham a público sobre esse tipo de ocorrência, nem prevê indenização aos clientes ou multa específica. A Catho disse que divulgou o caso “em respeito aos clientes e com o dever da transparência”.
Embora o Ministério Público tenha conseguido obrigar o pagamento de multa em alguns casos de violações, os usuários não são amparados por medidas de proteção contra fraude, como é obrigatório em outros países.
A Lei Geral de Proteção de Dados (LGPD) prevê a obrigatoriedade de comunicar “incidentes de segurança” quando houver “risco relevante”, mas esta lei só entrará em vigor em maio de 2021. A vigência dela foi adiada por uma Medida Provisória em abril deste ano.
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]