Mais um megavazamento acontece no Brasil. Desta vez, a atingida é a Hariexpress, plataforma brasileira usada pelos maiores varejistas do país. 1,7 bilhão de dados sensíveis de consumidores e vendedores foram encontrados em um servidor desprotegido, de acordo com levantamento feito pelo laboratório Safety Detectives.

A catástrofe já é grande o suficiente quando se considera somente o impacto nas lojas pequenas, que utilizam o serviço para monitorar o próprio e-commerce, e seus consumidores. Mas, qual seria o impacto nas gigantes vinculadas ao site, como Mercado Livre, Magazine Luiza, Correios, Shopee e Amazon? Levando em consideração a LGPD, seria possível responsabilizar grandes marcas pelo erro de serviços terceiros?

• Como o novo iPhone e o leilão do 5G afetam a bolsa? Entenda assinando a EXAME.

Apesar do vazamento, não há qualquer confirmação de que terceiros tiveram acesso aos dados (além da Safety Detectives). As informações estavam no servidor ElasticSearch da Hariexpress sem qualquer proteção por criptografia. Isto significa que não havia uma senha protegendo o acesso aos dados.

Dentre as informações encontradas, estavam:

• De consumidores: nome completo, telefone, endereço de e-mail, assim como detalhes de compras (item, valor, data, foto do produto, código e link de rastreamento de pacote);
• De vendedores: além dos dados pessoais já citados acima, foram encontrados também documentos como CNPJ e CPF, senha e usuário para o perfil na plataforma e cópias de notas fiscais.

Para os varejistas, o investimento em segurança mostra valer a pena. Em suma, todas as citadas acima afirmaram posteriormente, em notas à imprensa, que nenhum vazamento foi registrado e que seus usuários não foram impactados.

Como avalia Wagner S. de Moraes, sócio-fundador da A&S Partners, empresa brasileira pioneira na montagem e estruturação de fintechs de meios de pagamento, o tratamento anti fraude já instaurado em suas plataformas faz com que o risco diminua. “O estrago tende a não ser muito grande por conta da inteligência artificial, que faz o monitoramento dos hábitos de consumo.”

E como fica a LGPD?

Empresas que atuam no Brasil estão sujeitas às sanções da Lei Geral de Proteção de Dados (LGPD), que estabelece as regras sobre os uso dos dados pessoais dos brasileiros, desde agosto.

No momento, a Autoridade Nacional de Proteção de Dados (ANPD) não está aplicando nenhuma multa. O regramento prevê advertências, bloqueios e multas diárias que podem chegar a 2% do faturamento líquido, em um teto de até 50 milhões de reais, em breve.

Mesmo assim, os titulares de dados já têm proteção por órgãos como o Senacon, focado no direito do consumidor. No caso da Hariexpress, os vendedores que tiveram seus dados pessoais vazados têm o direito de denunciar a plataforma para a justiça, mas também podem ser responsabilizados caso consumidores das lojas comprovem algum dano. 

Já a Hariexpress, que atua como operadora e faz a integração dos e-commerces, também pode eventualmente ser responsabilizada pela ANPD ou outros órgãos fiscalizadores.

“Ela tem contrato com as companhias para que elas disponham da plataforma para fazer seu e-commerce”, disse Enrique Tello Hadad, sócio do Loeser e Hadad Advogados com 24 anos de experiência em direito empresarial. “Portanto, a primeira coisa que devia ter feito ao perceber o vazamento era informar as empresas.”

O relatório da equipe da Safety Detectives afirma que a Hariexpress foi informada no início de julho, mas cessou a comunicação. A brecha aconteceu em maio e foi identificada em junho.

Uma pesquisa sobre segurança digital feita pela TransUnion mostra que o número de fraudes digitais envolvendo serviços financeiros aumentou 457% desde o início da pandemia. O grande desafio para os e-commerces, avaliam os especialistas, é manter os níveis de segurança sempre altos o suficiente para que as fraudes não ultrapassem a média.

“[O vazamento] tem uma gravidade, sim, muito grande, mas não vai ser isso que vai acabar com o mercado. As fraudes vão continuar na média, visto que as empresas têm mecanismos de proteção contra fraudes”, afirma Moraes. Hadad complementa:  “Vamos ter que esperar para ver o dano efetivamente e o movimento, mas qualquer um pode ser responsabilizado.”