Cadastrados nos Correios receberam, nesta quarta (25), um comunicado da empresa sobre uma vulnerabilidade no sistema que causou um vazamento de dados pessoais, como nome, CPF, email, data de nascimento e número de celular.
A empresa afirma que 2% da base de cadastro foi atingida, e que senhas ou credenciais não foram expostas. Também diz que já implementou medidas de segurança adicionais e que notificou a ANPD (Autoridade Nacional de Proteção de Dados), conforme exigido pela legislação.
David González, especialista em segurança da informação da Eset, empresa de antivírus, explica que esse tipo de vazamento é comum e não permite acesso direto a contas bancárias. Porém, segundo ele, cibercriminosos conseguem utilizar essas informações para aplicar golpes financeiros.
“Um exemplo claro é o golpe recente que usava o nome dos Correios e simulava um site quase idêntico ao oficial para convencer usuários a pagarem uma falsa taxa de importação. Muitos dos SMS enviados já traziam o primeiro nome da vítima, o que aumenta a sensação de legitimidade”, explica.
Sobre a segurança de manter uma conta nos sistemas dos Correios, o especialista diz que é preciso observar como a empresa lida com o incidente. “No caso em questão, o envio proativo de uma notificação aos usuários é um sinal positivo, pois indica que há uma política de transparência”, diz.
Em comunicado aos usuários, os Correios dizem que informaram seus clientes em conformidade com o artigo 48 da LGPD (Lei Geral de Proteção de Dados), que obriga os controladores a tornar pública, de forma imediata, a natureza dos dados expostos, as informações sobre os titulares envolvidos, as medidas de segurança tomadas e os riscos relacionados ao incidente.
Nas redes sociais, usuários publicaram a nota recebida:
O QUE FAZER SE MEUS DADOS FORAM EXPOSTOS?
David recomenda que usuários redobrem a atenção com comunicações inesperadas, especialmente as que pedem cliques ou dados pessoais. “Evite acessar links enviados por SMS, email ou aplicativos de mensagem sem verificar sua origem”, diz.
A recomendação é sempre digitar manualmente o endereço oficial da empresa —neste caso, correios.com.br— e checar se a informação procede.
“Também vale ativar a verificação em duas etapas em todos os serviços que permitirem, manter o sistema operacional e os aplicativos atualizados e contar com uma solução de segurança confiável e bem configurada para bloquear possíveis ameaças”, acrescenta o especialista.
A Kaspersky, empresa de segurança digital, também recomenda utilizar serviços para monitoramento de CPF, que avisam se o número da vítima estiver circulando pela internet, e aplicativos que notificam sempre que uma compra online é feita em seu nome.
Uma opção é o sistema Registrato, do Banco Central, que permite fazer consultas de empréstimos e financiamentos, informar bancos onde a pessoa tem conta e cartão de crédito, além de listar as chaves Pix registradas.
Fabio Assolini, diretor da equipe global de pesquisa e análise da Kaspersky para a América, orienta o uso de um email alternativo em cadastros mais simples e pontuais, para não colocar em risco a conta associada a bancos, redes sociais e serviços governamentais.
“Além disso, evite indicar seu nome real e endereço residencial. Minta seus dados pessoais, sem culpa, exceto para o caso de operações de compra”, diz o diretor.
