Exclusivo: Cinemark admite invasão de contas de usuários

Na semana passada, relatos de cliente no Reclame Aqui informavam que seus emails e CPFs foram trocados no app; invasões ocorriam desde abril

---

A Cinemark admitiu que alguns clientes tiveram suas contas invadidas. Nas últimas semanas, consumidores da rede de cinemas relataram que emails, senhas e CPFs foram trocados no serviço Cinemark Club. Eles também não conseguiram recuperar os perfis, de acordo com queixas publicadas na internet.

O Tecnoblog teve acesso ao email disparado pela Cinemark nesta segunda-feira (23). A empresa confirma que houve uma invasão às contas e que a vulnerabilidade existia desde abril. Ela também explica que os ataques não foram causados pela divulgação de dados do seu sistema. É possível que agentes maliciosos tenham se utilizado vazamentos anteriores para acessar contas dentro da plataforma.

Clientes tiveram emails trocados no app da Cinemark

Os clientes da Cinemark relataram que os seus emails e CPFs foram modificados no aplicativo da empresa. Ao trocar os dois dados, os cibercriminosos impediam a recuperação das contas. Sem o CPF correto, os usuários não podem recuperar o email usado para criar a conta.

A Cinemark não chega a explicar a vulnerabilidade aberta em abril. A causa pode ser a ausência de uma etapa de verificação no pedido de troca de emails. Um cliente ouvido pelo Tecnoblog disse que nunca recebeu emails informando sobre mudanças na conta – nem mesmo na caixa de spam.

Hoje em dia é comum que sites, apps e plataformas mandem emails quando registram mudanças relevante nas contas do usuários, mas isso não parece ter ocorrido na Cinemark. Essa é uma etapa importante para evitar que cibercriminosos roubem o perfil. Em alguns serviços, somente o acesso ao link de confirmação permite que você troque o e-mail, senha ou outras informações pessoais. A Cinemark informa no email aos clientes que a vulnerabilidade foi corrigida.

Cinemark recomenda que clientes fiquem atentos a ciberataques

A Cinemark sugere que os usuários se mantenham vigilantes e monitorem possíveis golpes. A empresa recomenda que eles fiquem atentos a casos de phishing e ligações suspeitas, alguns dos meios que permitem que cibercriminosos roubem dados.

A empresa diz não acreditar que houve alguma consequência séria desse caso de invasão. No entanto, se você foi um dos clientes afetados, é importante verificar se há compras não reconhecidas no seu cartão de crédito — principalmente de ingresso para os cinemas da Cinemark.

Comunicado da Cinemark sobre o caso

A Cinemark confirma que agentes externos, munidos de CPF e e-mail de clientes obtidos por outros meios que não através da Cinemark, tiveram acesso a poucas contas de forma fraudulenta. A Rede já suspendeu o acesso às contas identificadas, comunicou a Agência Nacional de Proteção de Dados (ANPD) e está em processo de comunicação e solução da questão junto aos titulares afetados, não vislumbrando qualquer impacto relevante decorrente deste evento.