Uma empresa de cibersegurança, a Hackmanac, alertou para uma alegada violação de dados na PcComponentes, uma das principais lojas online de hardware em Espanha. Um hacker identificado como “daghetiaw” terá acedido a informações de 16,3 milhões de clientes, colocando-as posteriormente à venda em fóruns da dark web. A empresa não se tinha pronunciado até à altura da publicação do artigo, mas já emitiu um comunicado a negar o ataque, e a implementar novas regras de segurança adicionais.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

O alegado ataque terá exposto dados como nomes completos, números de identificação fiscal, moradas físicas, contactos telefónicos, correios electrónicos e históricos de encomendas. A informação também incluiria faturas, tickets de suporte ao cliente através da plataforma Zendesk e alguns elementos relacionados com pagamentos, embora não haja confirmação sobre a exposição de números completos de cartões bancários. Para demonstrar a veracidade das suas afirmações, o criminoso partilhou uma amostra contendo dados de 500 mil utilizadores.

Um especialista em cibersegurança revelou ter reportado uma vulnerabilidade à PcComponentes há cerca de um ano, que expunha credenciais de acesso à base de dados. Este investigador mencionou ainda que, em agosto de 2023, existia já uma base de dados comprometida com quase 12 milhões de utilizadores, o que tornaria plausível o crescimento para os 16,3 milhões agora reportados. O perito terá mantido acesso aos servidores da empresa durante cinco anos, perdendo-o apenas quando a infraestrutura migrou para os serviços da Amazon Web Services.

Hack PC Componentes
Hack PC Componentes

Os especialistas em segurança alertam para os riscos associados a este tipo de incidentes. Os dados expostos podem ser utilizados em campanhas massivas de phishing, onde criminosos se fazem passar pela empresa ou por outras entidades para solicitar pagamentos adicionais ou códigos de segurança. Existe também o perigo de suplantação de identidade, já que as informações roubadas permitem criar perfis detalhados dos utilizadores, facilitando esquemas de engenharia social mais sofisticados.

O Tek Notícias entrou em contacto com a PC Componentes por vários meios, mas não obteve qualquer resposta oficial. A mesma, entretanto, já veio sob a forma de comunicado de imprensa, que informa que não foram hackeados, mas que tentaram aceder a contas que já tinham sido expostas de ataques anteriores. Reconhece que alguns dados pessoais poderão estar comprometidos, mas garante que os dados bancários, assim como os dados de acesso, estão seguros.

Por precaução, todas as sessões ativas foram desligadas, obrigando a que os utilizadores a usar um sistema CAPTCHA para o inicio da sessão, e à ativação obrigatória de autenticação de dois factores (2FA). Recordamos que de acordo com a legislação europeia em vigor, nomeadamente o Regulamento Geral de Proteção de Dados (RGPD), a empresa tem um prazo de 72 horas para notificar as autoridades, que neste caso em concreto será a Agência Espanhola de Proteção de Dados (AEPD), assim como os clientes afetados diretamente.

Como tem vindo a ser habitual nestas situações, a recomendação dos especialistas é a de que todos os clientes da loja alterem imediatamente as suas palavras-passe, tanto na plataforma como em quaisquer outros serviços onde utilizem as mesmas credenciais. Os utilizadores devem também estar particularmente atentos a mensagens de correio eletrónico ou SMS que utilizem informações das suas compras para solicitar dados adicionais ou pagamentos, uma vez que estas comunicações podem ser tentativas de phishing baseadas nos dados roubados.

Notícia atualizada às 11:57, logo após o envio do comunicado oficial por parte da PcComponentes.

Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.