Americanas: gigante do varejo com R$ 40 bilhões em vendas em nove meses (Raul Junior/Site Exame)
A atual situação dos sites da Americanas S.A tem cheiro de um ataque hacker, tem gosto de um ataque hacker, parece um ataque hacker, no entanto, próximo do quinto dia de blackout das operaçações, o acesso foi restabelecido.
Desde às 11h desta quarta-feira, é possível acessar a página da Americanas. Contudo, Submarino, ShopTime, Supermercado Now e Sou Barato, todas pertencentes ao grupo, seguem offline.
Publicamente, o grupo admite apenas ter sofrido um "incidente de segurança" e, por precaução, optou por retirar seus sites do ar. Em comunicado, divulgado na manhã desta quarta-feira, 23, a Americanas S.A se ateve somente em dizer que "está restabelecendo gradualmente e com segurança seus ambientes de e-commerce e que não há evidência de comprometimento das bases de dados".
Mas a instabilidade somada à falta de transparência já refletiu nos dois primeiros pregões desta semana, quando as ações da Americanas caíram mais de 11%. As perdas em volume bruto de mercadoria (GMV) são estimadas em até 100 milhões de reais para cada dia sem seus canais de vendas online. De acordo com a consultoria Economatica, a empresa teve um prejuízo de R$ 3,4 bilhões desde sexta-feira.
Até o início da tarde de segunda-feira, 21, as páginas da varejista mostravam um aviso de uma falha DNS, que indica um problema com o domínio da página. Para se ter uma ideia, houve relatos de usuários que tiveram o acesso à Americanas redirecionado para o site de conteúdo adulto Pornhub.
Com essa evidências, uma explicação para o caso surge dos rumores de que o Lapsus$ Group, grupo de criminosos hackers responsável pela invasão a plataforma ConectSUS do Ministério da Saúde, é o responsável pelo ataque.
Um usuário do Twitter, Soufiane Tahiri, postou um screenshot do que seria um membro do grupo assumindo o ataque, mas não há nada confirmado.
É obvio que, se for o caso, não é possível esperar que a empresa não tente se resguardar do impacto no valor das ações. Mas, com quase uma semana de indisponibilidade, é certo que a empresa enfrentou até esta quarta-feira uma invasão de grande porte e de reestruturação custosa, e que as equipes não estavam aptas para trabalhar em um incidente deste nível.
Ainda na segunda-feira, 21, o Procon-SP notificou a Americanas S.A, solicitando explicações sobre a segurança de dados dos clientes, com o prazo para uma resposta até terça-feira, 22. Consultado pela reportagem, o presidente do Procon-SP, Fernando Capez, não informou se a empresa chegou a prestar algum esclarecimento.
Uma das principais preocupações para os clientes da Americanas está em um possível comprometimento dos dados pessoais no nível de cartões de crédito. Isso poderia resultar na exploração das informações dos consumidores para a aplicação de golpes diretamente ou por meio de fraudes em bancos e outros sistemas.
Por isso, por precaução, quem usa a mesma senha do site das Americanas, Submarino ou Shoptime em outros sites ou serviços devem trocar a combinação em todos os outros sites em que a usa.
Outra medida é ficar atentos à mensagens com cobranças suspeitas. É previsível que eventuais dados compartilhados com a Americanas [caso tenha havido algum vazamento], poderão ser por usados para golpes no futuro
Ainda não é possível estimar a gravidade do caso já que a Agência Nacional de Proteção de Dados (ANPD), órgão que aplica a Lei Geral de Proteção de Dados brasileira, tem por regra "não divulgar os processos de comunicação de incidentes de segurança digital por imposição legal, em respeito ao sigilo comercial e industrial".
Mas, considerando que a lei prevê que tal notificação ocorra, é certo que a agência já esteja trabalhando com a Americanas S.A para entender o número de afetados, além das ações de mitigação dos efeitos do incidente que devem ser dotadas pela companhia nos próximos dias.