Multinacional sueca, uma das principais empresas globais de eletrodomésticos e avaliada em 17,6 bilhões de coroas suecas (US$ 1,8 bilhão), a Electrolux identificou um vazamento em uma de suas bases de dados envolvendo informações pessoais de clientes de sua loja virtual no Brasil.
O NeoFeed teve acesso a e-mails enviados nas últimas semanas pela empresa a consumidores que fizeram compras pelo canal. A companhia informa que, em 28 de abril, tomou conhecimento de que uma base de dados hospedada em um de seus fornecedores externos teve um acesso não autorizado.
Segundo a mensagem da empresa aos consumidores, após uma investigação, a exposição dos dados ocorreu em virtude de uma falha técnica na integração de sistemas gerenciados por “parceiros de negócio”, sendo que nenhum sistema ou site da companhia foi afetado.
No comunicado, a Electrolux ressalta que, entre os dados pessoais do cliente que podem ter sido acessados, estão: nome completo, CPF, e-mail, endereço de entrega e os 4 primeiros ou 4 últimos dígitos do cartão de crédito e/ou débito. Além do histórico de pedidos com a Electrolux.
A empresa observa que nenhum dado sensível, como senhas ou códigos de segurança de cartões, foi acessado. E aponta que, ao ter ciência do incidente, a exposição foi rapidamente contida pelo seu time de segurança, que bloqueou o acesso indevido “imediatamente”.
A Electrolux ressalta ainda que tem políticas robustas de segurança. E que, com o incidente, implementou medidas adicionais, como o reforço do monitoramento de sistemas, o cancelamento de transações suspeitas e uma notificação à Autoridade Nacional de Proteção de Dados (ANPD).
Ao NeoFeed, a Electrolux informa que "acionou todos os protocolos de segurança e comunicou as autoridades pertinentes e os afetados, com orientações preventivas" (confira a íntegra do posicionamento da companhia abaixo).
Apesar dessa afirmação, a partir de uma pesquisa no site Reclame Aqui, é possível ter acesso a reclamações de usuários, de várias localidades, relatando sobre tentativas de golpes sofridas a partir do vazamento de suas informações pessoais.
Um dos pontos recorrentes é o fato de que esses clientes receberam mensagens de supostos parceiros da Electrolux – transportadoras, por exemplo – nas últimas semanas informando que o produto comprado foi retido na alfândega e que, para liberá-lo, seria preciso pagar uma taxa adicional, por meio de um link.
Em outra questão recorrente, em boa parte desses casos, as tais mensagens, enviadas via WhatsApp, continham justamente os dados do usuário. Entre eles, valor e data da compra, meio de pagamento utilizado, nome completo e endereço de entrega.
“Isso é inaceitável. Comprei diretamente no site de vocês confiando na reputação da marca, mas acabei tendo minha privacidade violada, minha segurança pessoal colocada em risco e estou sob extrema preocupação quanto ao uso indevido de minhas informações pessoais e financeiras”, escreve um deles.
Sob o ponto de vista da legislação brasileira, a Electrolux, que tem capital aberto na Suécia, é obrigada a atender as determinações da Lei Geral de Proteção de Dados (LGPD), que determina a notificação á ANPD sobre vazamento de dados.
“Existe todo um procedimento da ANPD que eles precisam cumprir. Não é somente a notificação do incidente”, afirma Gisele Truzzi, advogada especialista em Direito Digital e fundadora do Gisele Truzzi Tech Legal Advisory.
O leque de medidas é amplo. Além da notificação, ele inclui, por exemplo, havendo risco ou dano relevante, a obrigação de a empresa comunicar o ocorrido aos titulares dos dados pessoais expostos no incidente. Essa comunicação deve ser feita o mais rápido possível, individual e diretamente ao usuário.
“A comunicação é um requisito legal, mas não é suficiente para lidar com a situação”, diz Marcelo Crespo, coordenador do curso de direito da ESPM e especialista em direito digital. “É preciso tomar outras medidas técnicas e administrativas para conter, sanar e voltar ao status quo antes do vazamento.”
Entre essas medidas, ele ressalta iniciativas como auditorias, mudanças de senhas e de sistemas de proteção. E observa que, mesmo seguindo esses passos, uma vez que há vazamento, é muito difícil de impedir que outras pessoas tenham acesso aos dados expostos.
“O fato de terceiros estarem usando esses dados não significa que houve uma dupla falha da empresa”, afirma Crespo. “Mas, da mesma forma, mesmo o vazamento tendo ocorrido no sistema de um fornecedor externo, a responsabilidade segue sendo da empresa. Pela escolha desse fornecedor.”
Outros casos
A Electrolux não é o único caso envolvendo incidentes de segurança digital no mercado brasileiro. Recentemente, no fim de abril, a XP também informou em comunicado a clientes que houve um acesso não autorizado a uma base de dados hospedada em um de seus fornecedores.
O incidente envolveu informações como nomes, número da conta, saldo e limite de crédito. Mas a empresa ressaltou que nenhuma transação foi realizada e que dados como senhas, biometria ou CPF foram preservados. E que bloqueou imediatamente o acesso.
Em diferentes modalidades, uma série de empresas brasileiras ou com atuação no País engrossou essa relação nos últimos anos. Em outubro de 2024, por exemplo, a Sabesp informou que foi vítima de um ataque cibernético que provocou instabilidade em sua rede digital.
Um mês antes, a Totvs confirmou que foi vítima de um ataque de ransomware. Essa técnica envolve o sequestro de dados críticos de um usuário ou empresa. E, na sequência, o pedido de uma cifra para desbloquear o acesso a essas informações.
A lista de incidentes, que vem crescendo nos últimos quatro anos, em particular, envolve ainda nomes como Grupo Fleury, Copel, CVC, Porto Seguro, Cosan, Hapvida e as varejistas Americanas, Fast Shop, Renner e Westwing.
Leia, abaixo, a íntegra do posicionamento da Electrolux enviada ao NeoFeed:
Diante do incidente de segurança com dados de alguns de nossos clientes, o Electrolux Group esclarece que, ao ter conhecimento do ocorrido, acionou todos os protocolos de segurança e comunicou as autoridades pertinentes e os afetados, com orientações preventivas.
Os dados possivelmente expostos não permitem transações financeiras ou novas compras, mas medidas adicionais de monitoramento foram e estão sendo adotadas.
