Notificação pública de incidentes de dados pessoais

A empresa HSystem tomou conhecimento de uma vulnerabilidade que pode ter levado ao vazamento de dados pessoais de terceiros atendidos por nossos clientes no dia 19 de Setembro de 2018, às 14 horas e 46 minutos.

Mesmo com toda a preocupação e investimento da empresa na área de segurança da informação, esse problema ocorreu no sistema HBOOK. Os outros produtos da empresa não foram afetados. Muito embora a empresa tenha tomado providências imediatas para conter a falha de vulnerabilidade do sistema, não é possível afirmar com absoluta certeza de que esses dados não tenham sido acessados. As auditorias internas e investigações de segurança acerca desse incidente estão sendo realizadas, assim como averiguações e testes.

Gostaríamos de nos desculpar aos nossos clientes e terceiros afetados por este incidente, e informar que estamos nos esforçando para que as investigações ocorram da maneira mais segura e eficaz possível. Desta forma, iremos atualizar este documento no decorrer das investigações, além de informarmos as providências tomadas quanto ao assunto.

O que aconteceu?

No dia 19 de Setembro, em razão de publicação na mídia, fomos informados de uma falha de segurança em uma de nossas aplicações que poderia levar à exploração de uma vulnerabilidade que permitiria acesso ao nosso banco de dados. Muito embora as informações bancárias estivessem protegidas por criptografia conforme as exigências do padrão internacional PCI, determinadas categorias de informações referentes a dados pessoais podem ter sido acessadas.

Quais tipos de dados foram vazados?

Nome, e-mail, telefones de contato, número de documento CPF ou Passaporte e informações financeiras criptografadas de cartão de crédito.

Qual o tamanho do vazamento?

De acordo com a auditoria realizada após o incidente, estiveram expostos 435.437 registros que incluíam diversos tipos de informação, incluindo as referidas acima. 

Quais providências imediatas foram tomadas?

Assim que fomos informados da vulnerabilidade, limitamos o acesso ao banco de dados ao mínimo necessário para o acesso às aplicações. Após isso, foram analisados os logs do ambiente para averiguar o nível de comprometimento, bem como a indicação de uma Data Protection Officer.

Vocês sabem se essas informações foram utilizadas por terceiros?

Até o momento, não temos evidências de que essas informações foram utilizadas por terceiros. Durante o processo de averiguação, foram feitas varreduras acerca dos dados vazados, mas nenhum resultado concreto foi encontrado.

Quais as recomendações para os usuários que tiveram seus dados expostos?

As informações financeiras encontravam-se em criptografia de alto grau e, portanto, existe baixo risco do acesso a essas informações. Além disso, estas informações são relativas apenas a alguns usuários que tinham reservas ativas, estando no total de 25.686.

Quais providências tomaremos a partir de agora?

A HSystem, sob orientação da Data Protection Officer, continuará trabalhando e tomará as providências necessárias para aderir integralmente às exigências internacionais de proteção de dados como a GDPR e também antecipar as exigências da Lei Geral de Proteção de Dados quanto ao tratamento e proteção de dados pessoais, estendendo no futuro para um compliance completo de Segurança de Informação.

Diante do exposto, disponibilizamos um canal de comunicação acerca do incidente, através do e-mail incidente19092018@hsystem.com.br

Equipe HSystem