Os atacantes chegaram a utilizar do Twitter da empresa para fazer posts informando o ciberataque, mas a empresa já assumiu o controle desta rede social e publicou uma nota oficial
Hoje dia 23 de junho e por volta das 11h a Fast Shop, especializada em eletroeletrônicos, publicou o comunicado informando uma tentativa de acesso não autorizado aos seus sistemas.
Os cibercriminosos que fizeram o ataque conseguiram ter acesso à conta de Twitter da empresa e fizeram algumas publicações dando conta de que estavam de posse de dados da empresa e informaram o endereço do Telegram para negociação.
Dezenas de usuários relataram problemas e instabilidade com o site de compras da Fast Shop. Segundo a CISO Advisor publicou em uma matéria sobre o ataque, uma fonte – não identificado – falou com eles informou que curiosamente o endereço DNS utilizado pela empresa havia sido alterado ontem, e o contato transferido para alguém com um endereço no Pronton Mail, mas hoje a foi desfeita e o DNS voltou para o domínio da FAST.
Até o momento não recebemos informações de como ocorreu a invasão e vamos acompanhar o desdobramento desse ataque e os processos junto a ANPD – Autoridade Nacional de Proteção de Dados.
“Vale lembrar que sob a ótica da LGPD, não é somente o vazamento dos dados pessoais que deve ser endereçado, mas também a indisponibilidade desses dados, o que acontece nos ataques de sequestro de dados, o ransomware, e até mesmo nos ataques de negação de serviço, quando muitos acessos são feitos por robôs para tirar um determinado site do ar. E identificando a ocorrência do incidente, a empresa precisa acionar seu ‘plano de resposta à incidentes de privacidade’, obrigatoriedade trazida pela LGPD, e documentar a análise e as medidas que foram ou não foram tomadas para mitigar ou afastar os riscos que forem identificados.” Márcio Chaves, sócio da área de direito digital do escritório Almeida Advogados
“Embora não seja possível afirmar com clareza sem ter acesso a maiores informações, o que parece ter ocorrido foi uma tentativa de extorsão da empresa mediante o sequestro de dados. Esta prática, cada vez mais comum, é conhecida como “ramsomware”. Trata-se de ataque cibernético a uma máquina com o objetivo de criptografar as informações em tal máquina, de modo que tais informações não possam mais ser acessadas a menos que a vítima pague um resgate – em inglês, ramsom. O resgate geralmente é pedido e pago em criptomoedas, como o Bitcoin, por não serem facilmente rastreáveis. Uma vez que o criminoso tenha acesso ao sistema, a empresa corre o risco de perder todos as informações em sua rede, ter suas atividades paralisadas, e/ou de ter tais informações vazadas. Deste modo, os cuidados em relação ao ramsomware têm natureza eminentemente preventiva, como realizar backups periodicamente, manter sua infraestrutura de segurança da informação atualizada, e conscientizar os funcionários sobre o bom uso de ferramentas de tecnologia.Vale lembrar que além dos prejuízos econômicos, a empresa que for alvo de tal crime poderá ainda vir a ser responsabilizada por eventual violação à legislação brasileira, como a Lei Geral de Proteção de Dados Pessoais (LGPD). Neste caso, além de poder sofrer sanções administrativas, como advertências e multas, a empresa poderá ser responsabilizada civilmente em ações individuais ou coletivas ajuizadas contra a empresa. A LGPD obriga empresas a adotarem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais sob seu controle de incidentes de segurança, como acessos não autorizados ou perda de dados. alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” Marcelo Cárgano, advogado da área de direito digital do escritório Abe Advogados