Experian desafiada por vazamento massivo de dados no Brasil

Depois de receber comentários da Experian sobre uma grande violação de dados no Brasil, o Procon, fundação estadual de direitos do consumidor de São Paulo, descreveu as explicações da empresa como “insuficientes” e disse que o incidente provavelmente começou em um ambiente corporativo.

O Procon notificou a multinacional de informações de crédito após o surgimento de um vazamento que expôs os dados pessoais de mais de 220 milhões de cidadãos e empresas, que estão sendo colocados à venda na dark web. A empresa de segurança PSafe descobriu o incidente, que expôs todos os tipos de dados pessoais, incluindo informações do Mosaic, modelo de segmentação de consumidores usado pela Serasa, subsidiária brasileira da Experian.

Depois que o vazamento apareceu, em janeiro, o Procon notificou o bureau de crédito e pediu à empresa a confirmação do incidente e uma explicação dos motivos que causaram o vazamento, as medidas tomadas para contê-lo e como vai reparar o dano. aos consumidores afetados e as medidas tomadas para evitar que volte a acontecer.

“Nenhuma hipótese foi descartada e, no momento, consideramos que o vazamento tem mais probabilidade de vir de empresas internas do que de hackers”, disse Fernando Capez, presidente do Procon, acrescentando que os comentários da Experian geram mais perguntas do que respostas. As explicações da empresa serão analisadas pela diretoria do órgão de defesa do consumidor, podendo ser aplicada multa caso seja constatada alguma violação.

De acordo com o Procon, a Experian informou que todas as suas atividades envolvendo dados pessoais estão de acordo com as normas brasileiras de proteção de dados, e que o processamento de tais dados pode atender legalmente a diversos fins. Essa parte da resposta foi insuficiente, disse o órgão de defesa do consumidor, uma vez que “não há base legal para o tratamento e uso de dados indiscriminadamente” e que inclui dados de pessoas falecidas, também expostas no vazamento.

Adicionalmente, o Procon observou que a Serasa Experian não especificou as medidas técnicas e organizacionais tomadas para implementar sua política de proteção de dados. Além disso, a empresa reforçou o que havia dito em comunicado divulgado na semana passada em sua resposta à notificação, de que não há evidências de que dados de crédito tenham sido obtidos ilegalmente de sua subsidiária brasileira. A empresa também argumentou que não há evidências de que seus sistemas de tecnologia tenham sido comprometidos.

Em relação à política de mitigação de riscos da Serasa Experian que pode ocorrer nessas circunstâncias, o Procon disse que a empresa apenas afirmou que atualmente existe um “programa abrangente de segurança da informação”. Em relação à reparação de danos aos consumidores, a Serasa Experian informou que seu site traz instruções sobre o que fazer em caso de fraude. A posição do Procon é que se trata de uma medida preventiva e não restaurativa.

Contactada pela ZDNet, a Serasa Experian não respondeu aos pedidos de comentários sobre a resposta do Procon aos seus comentários. As demandas de resposta da agência seguem os apelos do Instituto Brasileiro de Defesa do Consumidor (Idec) por medidas urgentes para apurar e punir os responsáveis ​​pela exposição de dados populacionais, além de melhorar a informação e transparência dos cidadãos.

You May Also Like

About the Author: Jonas Belluci

"Viciado em Internet. Analista. Evangelista em bacon total. Estudante. Criador. Empreendedor. Leitor."

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *