Por Talita Nascimento
São Paulo, 21/02/2022 - Os sites de e-commerce de Americanas, Submarino e Shoptime ficaram fora do ar na madrugada de sábado e voltaram a ser suspensos na madrugada deste domingo. De lá para cá, os canais seguem inoperantes. Analistas chamam a atenção para o fato de que as vendas digitais representam 60% das receitas da empresa. O grupo hacker Lapsus, que também teria invadido os sistemas do SUS, publicou imagens e mensagens que sugerem a autoria do ataque.
Por meio do Telegram, o grupo divulga capturas de tela de chats internos da empresa e afirma ter invadido a área de pagamentos da companhia, na qual ficam dados como cartões de crédito dos usuários.
O último posicionamento da Americanas, porém, diz que a companhia suspendeu "proativamente parte dos servidores do ambiente de e-commerce na madrugada deste domingo (20/02) e acionou prontamente seus protocolos de resposta assim que identificou acesso não autorizado".
De acordo com José Damico, sócio fundador da SciCrop, empresa de dados especializada em agronegócio com experiência no ramo de segurança de dados, ataques como o feito a Americanas, em geral, têm a característica de serem motivados por questões financeiras. Os grupos roubam dados e vendem.
"A reputação é muito importante para essas gangues. Elas precisam mostrar que os dados que roubaram são verdadeiros. Por isso publicam esses prints. É quase como uma selfie no cofre do banco", diz.
Segundo Damico, não é prudente acreditar em todos os anúncios feitos pelo grupo, mas se o roubo realmente se confirmar, não há como recuperar o que foi vazado. Isso porque, até onde se sabe, não houve pedido de pagamento de resgate.
Nesses casos, a ação da empresa se direciona a fechar as brechas, identificar se continuam acontecendo vazamentos e buscar interrompê-los. Além disso, a companhia tenta se proteger legalmente. "Quando a empresa anuncia que o ataque aconteceu, é uma forma de também se proteger", diz Damico. A companhia mostra que foi vítima de um crime e que não vazou os dados dos clientes, por exemplo.
Para Daniela Machado, advogada da área de Privacidade e Proteção de Dados do Felsberg Advogados, a lógica financeira faz sentido. "É importante compreender que vivemos numa economia essencialmente movida a dados, que se tornaram uma commodity altamente lucrativa e, por consequência, altamente visada em ataques cibernéticos mais rebuscados", diz.
Mitigar danos
Uma vez que o ataque já tenha acontecido, porém, ela diz que é preciso conduzir uma investigação interna que apure a origem, a extensão e possíveis resultados advindos do suposto acesso não autorizado. "Ou seja, a empresa deve investigar o ocorrido para identificar eventuais falhas de segurança que possibilitaram o acesso e, mais ainda, qual a natureza das informações acessadas e consequências do evento, como vazamento, destruição, perda ou alteração das informações", diz.
Se o roubo se tratar de dados pessoais, Machado diz que cabe ao Encarregado pelo Tratamento de Dados (DPO), juntamente ao Comitê de Privacidade, avaliar a quantidade e categoria de dados acessados indevidamente (como nome, CPF, e-mail, endereço, dados de pagamento dos usuários, dados de consumo), quantidade de titulares afetados e suas categorias também (funcionários, prestadores de serviço, consumidores), e quais as consequências concretas e prováveis que esses titulares sofrerão em decorrência do incidente.
"Sendo constatada a possibilidade de risco ou dano relevante para os titulares, a empresa deverá proceder com a comunicação do incidente à Autoridade Nacional de Proteção de Dados (ANPD) em até dois dias úteis, contados da data do conhecimento do incidente, bem como aos titulares dos dados indevidamente acessados", diz.
Machado diz ainda que seguros de risco cibernético têm sido oferecidos por diversas seguradoras e muitas empresas que realizam o tratamento de dados em alta escala ou informações de maior sensibilidade, como dados financeiros, têm contratado o produto. A Americanas SA, no entanto, não respondeu à reportagem sobre a existência ou não de seguro do tipo.
De todo modo, Machado diz que as companhias devem estar atentas aos termos do seguro, inclusive para cumprir os prazos de comunicação do incidente.
Prejuízo
Para Alberto Serrentino, sócio da consultoria Varese Retail, ainda há poucas informações oficiais para se saber exatamente qual área foi atingida e quanto tempo ainda deve levar para que o funcionamento do e-commerce seja normalizado. "Fica claro que tirar o site do ar foi uma forma de barrar o problema até que ele seja resolvido. É terrível. Parar uma operação grande e forte como essa, com marketplace e terceiros que vendem ali traz dano econômico e para o negócio", diz. "Não existe empresa inviolável, porque os hackers estão muito ousados e sofisticados. Isso é crime organizado internacional."
Na última divulgação de resultados, a Americanas SA informou que movimentou R$ 9,9 bilhões de volume bruto de mercadorias vendidas na internet (GMV digital), incluindo produtos próprios e de terceiros.
Para analistas da XP, a suspensão de parte dos servidores online da Americanas e do Submarino é marginalmente negativa para a companhia, já que o canal online representa cerca de 60% das receitas da empresa. "No entanto, é importante monitorar para ver quanto tempo levará para normalizar as operações e assim entender melhor o potencial impacto nos resultados da companhia", escrevem os analistas Danniela Eiger, Gustavo Senday e Thiago Suedt em comentário.
Mais preparo
O que é consenso é que as empresas precisam melhorar seus mecanismos de segurança. Para Damico, da SciCrop, as companhias devem trazer o mundo hacker para perto. Promover maratonas de programação na qual hackers se reúnem a fim de explorar dados abertos, desvendar códigos e sistemas lógicos, os hackathons, e premiar quem descubra falhas na segurança são algumas formas de se preparar melhor para eventos como esses.
Além disso, muitas empresas do ramo concentrarem sua operação em uma única nuvem, em vez de diversificar o armazenamento. Para ele, essa diversificação dificulta a gestão e os sistemas de pagamento da companhia, mas traz mais segurança para os dados.
O último comunicado da empresa diz que "a companhia atua com recursos técnicos e especialistas para avaliar a extensão do evento e normalizar com segurança o ambiente de e-commerce o mais rápido possível. A companhia reitera que trabalha com rígidos protocolos para prevenir e mitigar riscos. As lojas físicas não tiveram suas atividades interrompidas e permanecem operando".
Contato: talita.ferrari@estadao.com
P
