Pelo menos um servidor da rede C&A foi invadido ontem (30/08/2018) às 14:47, horário de Brasília. O servidor dava acesso a um banco de dados contendo registros de clientes dos cartões de crédito da empresa. Para comprovar a invasão, os autores publicaram parte dos dados em pelo menos seis endereços da internet, entre os quais o Pastebin. O servidor invadido contém os dados de aproximadamente 4 milhões de clientes. A invasão foi assinada pelos membros j0shua, Elemento_pcx, s4r4d0 e sup3rm4n, do grupo “Fatal Error Crew”.
Em nota distribuída à mídia, o grupo C&A declarou o seguinte: “A C&A detectou na madrugada de hoje um movimento de ciberataque ao seu sistema de vale-presente/trocas. Imediatamente a empresa acionou seu plano de contingência. A companhia também está tomando providências jurídicas para tratar a questão. Em caso de dúvidas, pedimos que os clientes acionem os canais de atendimento da empresa. Reiteramos nosso compromisso com uma atuação pautada pela ética e respeito às leis e que trabalhamos para oferecer a melhor experiência aos nossos clientes, inclusive no ambiente online”.
O texto publicado pelo grupo no Twitter e no Pastebin deixa claro que a invasão foi uma represália à empresa: notícias veiculadas pelo Tecmundo dois dias antes indicaram que foram criados cartões C&A para pessoas que simplesmente haviam comparecido a entrevistas de emprego e não haviam pedido cartão algum. Os cartões foram criados supostamente para que funcionários conseguissem bater as metas mensais determinadas pela empresa.