Dona da SHEIN leva multa de quase US$ 2 milhões depois de roubo de dados de clientes

Uma invasão e o subsequente roubo de dados de clientes da Zoetop Business – dona da SHEIN e outras marcas do e-commerce mundial – rendeu uma multa de US$ 1,9 milhão (R$ 10,05 milhões) à empresa, segundo comunicado divulgado pela Promotoria Geral de Nova York, nos EUA.

Apesar da empresa ser a vítima do ataque, ela também agiu de má fé ao não comunicar ou reduzir a veracidade dos fatos quando teve que entrar em contato com seus consumidores. O hack levou ao roubo de 39 milhões de contas na SHEIN, mais outros sete milhões de contas da Romwe, mas a promotoria afirma que a empresa não tomou medidas necessárias de prevenção digital, não aplicou um controle de danos satisfatório após o fato e, ainda, falhou em comunicar os reais impactos que um roubo de contas pode acarretar na vida do consumidor. Só em Nova York, cerca de 800 mil pessoas foram afetadas.

Imagem: VicVa/Shutterstock

Segundo o comunicado assinado pela promotora Letitia James:

“As fracas medidas de segurança da SHEIN e da Romwe facilitaram o roubo de dados pessoais de consumidores por parte dos hackers. Ao mesmo tempo em que novaiorquinos buscavam as lojas para realizar suas mais recentes compras, suas informações pessoais eram roubadas – algo que a Zoetop Business tentou acobertar. Falhar em proteger esses dados não é bem algo ‘da última moda’.

A SHEIN e a Romwe devem aprimorar sua segurança digital e proteger clientes de roubos de identidade ou fraudes. Este acordo servirá para mandar uma mensagem clara às empresas, para que elas reforcem suas medidas de proteção digital e ajam com transparência para com seus consumidores, e qualquer coisa a menos que isso não será tolerada.”

Se você não ficou sabendo de ataques recentes a uma das redes de e-commerce mais emergentes dos últimos anos, pode ficar tranquilo que você não perdeu nada: a invasão em questão ocorreu em 2018, e o comunicado atual é pertinente ao processo judicial que derivou deste ataque. Entre apelações e recursos de todas as partes envolvidas, o fim da luta na justiça veio agora, com a dona da SHEIN aceitando a proposta de acordo da promotoria.

O processo todo é relativamente longo, mas fácil de entender: em 2018, hackers conseguiram acesso a informações altamente privadas de vários clientes da Zoetop – majoritariamente, compradores da SHEIN. Entre as informações obtidas estavam nomes completos, endereços residenciais e de e-mails, bem como números de cartão de crédito.

Não foi a Zoetop quem identificou o problema, mas sim uma de suas contratadas terceirizadas, que atuava como processadora de pagamentos. Segundo os autos, essa empresa havia sido procurada por administradoras de cartões e alguns bancos – todos afirmando suspeitas de comprometimento de contas de clientes que associaram seus dados a perfis da SHEIN e da Romwe.

Na prática: os hackers viram que poderiam comprar coisas nas contas afetadas e procederam a fazê-lo, em larga escala. Imagine que um e-commerce saiba que você gasta, em média, R$ 100 por mês em compras e, de repente, você tem compras de R$ 500 a R$ 1.000 separadas por meros dias e você vai entender.

Uma vez ciente, a Zoetop contratou uma firma de segurança digital, cuja consultoria confirmou não só a invasão, como a exportação de algumas das informações acessadas. Ou seja, os hackers conseguiram copiar os dados visualizados. Embora o caso tivesse afetado mais de 45 milhões de pessoas entre as duas lojas, a Zoetop entrou em contato apenas com uma fração desse número, sendo que a maioria sequer recebeu um e-mail de alerta.

Mais além, a empresa não alterou suas práticas de segurança para oferecer defesas adicionais aos seus clientes, nem tampouco resetou de forma automática as senhas das contas afetadas. Ou seja, hackers que entraram continuariam entrando até que o usuário tomasse alguma atitude – algo meio difícil de fazer considerando que você nem saberia que sua conta foi comprometida (até, pelo menos, a fatura do cartão de crédito chegar).

Depois que a “bomba estourou”, como diz a expressão, a Zoetop mentiu ao dizer, publicamente, que menos de sete milhões de contas foram afetadas e que não havia evidências de que dados de cartões de crédito tivessem sido exportados – algo que a empresa já sabia ter acontecido pela consultoria contratada.

Como penalização, além da multa, a Zoetop terá que reformular toda a sua prática de segurança, comunicar essas alterações de forma clara e concisa à toda a sua base global, além de corrigir eventuais erros de configuração de contas e resetar as senhas, urgindo clientes a criarem uma nova, sendo eles afetados pelo hack ou não.

Segundo o Business of Apps, somente a SHEIN teve US$ 15,7 bilhões (R$ 83,14 bilhões) de faturamento de vendas em 2021. Os dados da Romwe não puderam ser encontrados até a entrega desta nota.

via Attorney General New York Office | Business of Apps