Vazamento de dados dos Correios
Novamente os Correios reportaram à Autoridade Nacional de Proteção de Dados (ANPD) um vazamento de dados de usuários. O vazamento ocorreu na plataforma do aplicativo Meu Correios — que ajuda a rastrear as entregas, onde foram vazados o número de celulares e o CPF dos usuários.
O aviso veio a público nesta segunda-feira (20), em uma nota na sala de imprensa da estatal, onde informou que “foram detectados a exposição e o eventual acesso indevido ao número de celular vinculado ao CPF de alguns usuários”. Não há informações sobre o número de usuários atingidos.
A companhia não explicou como essas informações foram parar em mãos erradas e orientou os usuários a trocar a senha do aplicativo — procedimento padrão em qualquer falha de segurança que resulte na exposição de dados.
O usuário Ward’z de Souza relatou ao portal Tecnoblog que recebeu um SMS da estatal no sábado (18/02), informando que detectaram um “possível acesso indevido ao seu número de celular cadastrado”. No alerta, os Correios também ressaltaram que seria importante trocar a senha de acesso ao serviço e que “novas medidas de segurança foram adotadas para assegurar a privacidade dos dados pessoais no referido aplicativo”.
Conforme exposto pelo 48º artigo da Lei Geral de Proteção de Dados (lei 13.709 de 2018), o controlador dos dados deve comunicar a ocorrência de incidentes de segurança à autoridade nacional e ao titular das informações.
Segundo os Correios, “vale destacar que a estatal é responsável por algumas das plataformas de serviços digitais mais acessadas do país — Portal Correios, Rastreamento, Busca CEP, Busca Agência, Pré-Postagem, entre outros — que estão operando normalmente” e que este não foi o primeiro incidente de vazamento de dados reportado pelos Correios à ANPD.
“Vale destacar que a estatal é responsável por algumas das plataformas de serviços digitais mais acessadas do país — Portal Correios, Rastreamento, Busca CEP, Busca Agência, Pré-Postagem, entre outros — que estão operando normalmente”
Em 2021, foi reportada uma falha nos sistemas da estatal que permitia o download do recibo do pagamento das taxas de importação de encomendas — documento que fornece dados como endereço, nome e CPF dos usuários.
A falha se deu no ambiente Minhas Importações do sistema Meu Correios, usado para identificar encomendas e pagar os impostos devidos. No sistema, o cliente deve colocar o código de rastreio, cadastrar o seu CPF e realizar o pagamento, em caso de taxação.
No entanto, após todo esse processo ter sido feito, outro cliente conseguia acessar, indevidamente, este documento onde mostrava o endereço de entrega, o nome completo do destinatário e seu CPF, bem como os produtos da nota fiscal e seus valores. A vulnerabilidade foi descoberta por usuários do sistema Meu Correios.
Em conversa com o portal Tecnoblog, o advogado Adriano Mendes, especialista em direito digital, explica que a Lei Geral de Proteção de Dados (LGPD) determina que os produtos e sistemas sejam concebidos considerando os princípios da privacidade.
Os Correios podem ter infringido a lei ao não impedir que dados pessoais fossem acessados sem que houvesse uma verificação de quem era o usuário por trás dessa requisição. Por outro lado, Mendes diz que parece ser também uma falha dos consumidores que deixaram informações expostas, já que elas são necessárias para conseguir o tal recibo. Por isso, o advogado aconselha que as pessoas tenham cuidado com seus dados e não os compartilhem sem necessidade.
O assunto será investigado pela Autoridade Nacional de Proteção de Dados (ANPD) e, se a empresa for considerada culpada, pode sofrer penalidades como advertência, suspensão das atividades e até bloqueio do sistema.
Mendes considera praticamente impossível que essas duas últimas sejam postas em prática, já que o dano da paralisação de um sistema dos Correios é muito maior que o prejuízo de um vazamento de dados. Por se tratar de uma companhia pública, não há multas.
Como é preciso estar logado no sistema para fazer o download do recibo, a empresa precisa ter um registro de quem faz essas requisições. Caso esse log realmente exista, os Correios deveriam comunicar quem teve seus dados expostos indevidamente e essas pessoas podem processar a empresa.
Mas segundo Mendes é improvável conseguir uma indenização por causa disso, já que é necessário provar o dano causado pelo acesso não-autorizado. “Você precisaria provar que aqueles dados foram usados para abrir uma conta bancária, fazer um cartão de crédito, pegar um empréstimo, coisas desse tipo”, explica o advogado.
