As Americanas ainda não explicaram por que os sites da loja de mesmo nome e do Submarino, que pertence ao grupo, estão fora do ar desde o último domingo (20). A única informação divulgada pela empresa foi de que houve um “acesso não autorizado”. Na tarde da segunda-feira (21), também saiu do ar o Shoptime, site de outra loja do grupo.
O diretor de tecnologia da Sage Networks Thiago Ayub recomenda que, por precaução, quem usa a mesma senha do site das Americanas, Submarino ou Shoptime em outros sites ou serviços que a troque. Isso para o caso de ter havido algum vazamento de dados, o que não foi confirmado pela empresa.
“Esse episódio é uma lição do risco que as pessoas correm ao reaproveitar senhas. Caso o consumidor utilize a mesma senha cadastrada na Americanas ou no Submarino em outros sistemas e serviços, não deve mais considerar essa senha segura”, diz Ayub.
“Outra precaução que todos devemos tomar é ficar atentos à mensagens com cobranças suspeitas. Podemos presumir que eventuais dados compartilhados com a Americanas [caso tenha havido algum vazamento], poderão ser por usados para golpes no futuro”, alerta o especialista no desenvolvimento de ferramentas de segurança digital .
“Desconfie mesmo se receber uma mensagem com seu nome, e-mail e endereço corretos, informando algum tipo de cobrança desconhecida”, diz Ayub.
Procon Carioca pede explicações
Na tarde de segunda, o Instituto Municipal de Proteção e Defesa do Consumidor (Procon Carioca) notificou a Americanas a apresentar informações sobre as falhas em suas lojas virtuais. A companhia tem o prazo de 20 dias para esclarecer o caso ao instituto.
“Considerando que os e-commerces das Americanas são visitados diariamente por milhares de pessoas e com objetivo de apurar eventual violação aos direitos dos consumidores, o Procon Carioca instaurou a Averiguação Preliminar”, explica o diretor executivo do Instituto, Igor Costa.
No Brasil, as informações sobre ataques a redes privadas costumam estar restritas ao que as empresas divulgam.
A Lei Geral de Proteção de Dados (LGPD), que impôs regras sobre o uso de dados pessoais dos brasileiros, diz que elas devem notificar seus clientes e a Autoridade Nacional de Proteção de Dados (ANPD) sobre “a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.
A lei não diz com clareza a quem cabe essa avaliação, nem o que caracteriza “risco ou dano relevante”. Hoje, a análise é realizada pela própria empresa que foi vítima.
“Algo que chama muita atenção é a dificuldade que eles [o time da Americanas S.A.] tiveram de subir uma página de aviso [nos sites, sobre a indisponibilidade]. O que faz com que a gente presuma que a missão do time de segurança da Americanas é maior do que a velocidade com que eles conseguem lidar com a situação”, avalia Ayub.
Os sites das lojas começaram a ter instabilidade no último sábado (19), quando a empresa citou ter identificado um “acesso indevido” e disse que “não havia evidência de comprometimento das bases da dados”. No dia seguinte, as páginas saíram do ar novamente e não foram restauradas até a última atualização desta reportagem.
Só por volta do meio-dia é que passou a aparecer um aviso feito pelas Americanas sobre a indisponibilidade, sem informações além do que já havia sido divulgado pela assessoria de imprensa do grupo. A mesma mensagem entrou um pouco mais tarde no site do Submarino.
Outros casos de sites derrubados
Um tipo de ataque que vem crescendo nos últimos anos no mundo é o chamado ransomware, em que um vírus “tranca” as informações dos sistemas e impede o acesso a elas. Os criminosos, então, exigem o pagamento de um resgate para entregar uma senha que desbloqueia os dados.
Foi o que aconteceu com a JBS, maior processadora de carnes do mundo, em maio do ano passado. Um ataque desse tipo que interrompeu de suas operações na Austrália, no Canadá e nos Estados Unidos. O caso veio à tona porque o FBI passou a investigá-lo e confirmou que se tratava de ransomware. E a empresa disse ter pago US$ 11 milhões em resgate aos hackers.
Casos de sites que saíram do ar, como o da rede Fleury, de medicina diagnóstica, também em 2021, e das Lojas Renner, no mesmo ano, não foram confirmados pelas empresas nem por autoridades como tendo sido ransomware ou outro tipo de ataque hacker.
Em dezembro, a plataforma que reúne informações sobre casos e mortes por causa de Covid-19, o e-SUS Notifica, ficou 11 dias fora do ar devido a um ataque hacker. A página do ConecteSUS, responsável pela emissão do Certificado Nacional de Vacinação Covid-19, também ficou fora do ar.
O caso está sendo investigado pela Polícia Federal e pelo Gabinete de Segurança Institucional.