“Temos um caso típico de incidente de segurança e a LGPD traz orientações expressas sobre todos os procedimentos que devem ser adotados pela empresa diante de uma situação como essa, como por exemplo, comunicar a autoridade nacional de proteção de dados e os consumidores que foram afetados. Ainda que a LGPD não esteja em vigor, mas considerando o histórico recente de outros incidentes, a empresa deveria adotar todos os procedimentos previstos no Artigo 48 da LGPD”.
Esse é o alerta que o advogado especialista em LGPD, Ricardo Freitas Silveira, sócio da Lee, Brock, Camargo Advogados (LBCA), faz sobre uma falha de segurança que atingiu a plataforma de uma corretora brasileira de criptomoedas.
O incidente foi detectado durante uma análise de segurança da plataforma realizada por programador, que conseguiu acessar os dados de clientes da corretora de moedas digitais News Cash.
A falha expôs dados pessoais de investidores, como CPFs, CNHs e RG. Assim que foi informada, a empresa corrigiu a vulnerabilidade. De acordo com fonte da corretora, o teste de segurança foi realizado por volta das 18h30 e 19 horas e a blindagem já estava finalizada uma hora depois. No total foram 8 GB de dados expostos.
De acordo com esclarecimento da corretora, as chaves privadas dos clientes não permanecem nos servidores web, portanto, os investimentos em criptomoedas não corriam risco. A falha encontrada pelo programador é chamada Disclosure Path e permite acesso à leitura de todos os arquivos de uploads dentro do servidor.
Não se sabe há quanto tempo a plataforma da corretora estava vulnerável, uma vez que havia documentos de 2018, nem se houve acessos de hackers antes da detecção da falha.
