Sala de Imprensa


Vazamento de dados: uma linha do tempo que precisa ser encerrada, por Oscar Zuccarelli

12/03/21 00:00:00

O ano de 2020 ficou marcado pela pandemia do novo Coronavirus e uma série de incidentes de segurança da informação que repercutiram no Brasil e no mundo. Tivemos a ocorrência de diversos tipos de ataques cibernéticos, como os sequestros de dados (ransomwares), fraudes e vazamentos de dados. 
No final do fatídico período, graves problemas ocorreram. Em novembro, aqui em solo brasileiro, tivemos um caso envolvendo o Superior Tribunal de Justiça (STJ) que sofreu um sequestro de dados, no qual o cibecriminoso cobrava um valor de resgaste para devolver os arquivos. Até que pudesse recuperar as informações do backup, foram suspensas sessões e o site foi retirado do ar, sendo apenas atendidas as demandas urgentes. 

Em dezembro, foi divulgado um grande vazamento de dados pessoais do Ministério da Saúde, que expôs mais de 200 milhões registros de pacientes. Informações como CPF, nome completo, endereço e telefone dos brasileiros com cadastro no SUS ou em planos de saúde foram vazados devido a uma falha em um dos sistemas da instituição. Vale dizer que, poucos dias antes, uma vulnerabilidade similar já havia exposto dados médicos, relacionados a infecção pelo Coronavírus de 16 milhões de brasileiros.

Enfim, chegou 2021, mas, infelizmente, com a virada do ano, tivemos a notificação do maior e mais crítico vazamento de dados ocorrido em nosso país, que comprometeu e expôs informações pessoais de mais de 220 milhões de brasileiros (número maior do que a população do país, pois existem dados de pessoas já falecidas). Dados como nome, CPF, RG, título de eleitor, e-mail, endereço, ocupação, pontuação de crédito, escolaridade, estado civil, emprego, salário, renda, foto de rosto, entre outras, estão contidas neste vazamento. O caso segue sendo investigado pela Polícia Federal a pedido da Autoridade Nacional de Proteção de Dados (ANPD), que informou estar apurando tecnicamente o evento para entender detalhadamente o que ocorreu neste vazamento - sua origem (até o momento não há confirmação de onde os dados vazaram), eventuais medidas adotadas e os impactos do incidente. 

E o que, nós, brasileiros, podemos fazer diante disso? Quando uma de nossas senhas é exposta, a primeira ação a ser feita é mudá-la. Mas e quando os dados vazados não podem ser alterados? O que é possível fazer quando vazam números de identificação, CPF ou até mesmo a foto do nosso rosto?
O problema primordial deste tipo de incidente é a vasta disponibilidade de informações para os criminosos, o que aumenta a chance de sucesso em golpes e fraudes, já que é possível personalizá-los para cada um dos alvos específicos. A realização de cadastros falsos para abertura de contas em bancos ou aquisição de cartões de crédito; a realização de compra ou venda de bens da vítima; a aplicação de golpes por telefone ou aplicativos de comunicação; ou até mesmo a utilização dos dados para realizar outras técnicas de engenharia social são algumas das atividades que podem ser realizadas pelos criminosos.

Em um vazamento como esse, ocorrido no início de 2021, as principais ações a serem tomadas cabem às empresas, que são as responsáveis pelo tratamento dos dados pessoais. No entanto, nós, os titulares destes dados podemos tomar alguns cuidados. Fique atento aos sites em que está inserindo suas informações; tome cuidado com os mais diversos tipos de mensagens contendo links ou anexos - desconfie daquelas propostas que são excessivamente convidativas, pois podem ser iscas para roubar mais informações ou comprometer seus equipamentos e sistemas; não passe informações ou confirme dados por meio de ligações – prefira sempre entrar em contato diretamente com a empresa com que precisa se relacionar; não transfira valores ou realize pagamentos quando solicitados por telefone ou mensagens - de posse de muitas informações o criminoso pode se fazer passar por um amigo ou conhecido; use senhas seguras e, por fim, habilite a autenticação de dois fatores nas redes sociais, aplicativos e outros sistemas sempre que for possível tal configuração. 
Uma boa dica também é usar o Registrato, serviço gratuito do Banco Central do Brasil, no qual é possível monitorar por meio de relatórios as movimentações financeiras (empréstimos, financiamentos ou transferências PIX) em seu CPF. Desta forma, será possível identificar se há outras pessoas usando suas informações. 

Com a entrada da Lei Geral de Proteção de Dados Pessoais (LGPD) cabe uma ampla discussão deste assunto em nossa sociedade. A lei é apenas a base para a construção de uma cultura de privacidade de dados no país, mas precisamos ir além. A atuação da ANPD é primordial para a construção desta regulamentação, uma vez que ainda há a necessidade de estruturar as práticas que guiarão este tema em nosso país.

Uma simples reflexão pode nos levar a conclusão de que quanto mais as empresas investirem em controles de segurança da informação, maior será a dificuldade dos criminosos em concretizar uma invasão ou roubo de dados. No entanto, com o ambiente tecnológico cada vez mais complexo, investir apenas em tecnologia não é suficiente. É imprescindível que existam processos e políticas, além de pessoas conscientizadas e bem preparadas para exercerem suas atividades de forma segura. Sem isso a proteção dos dados pessoais será ineficaz. 

A discussão sobre a conscientização da sociedade em proteção de dados deve ser considerada fator preponderante de sucesso na jornada até a privacidade dos dados. Vivemos um paradoxo onde este assunto é manchete nos jornais, que cobrem os inúmeros vazamentos de dados que vem ocorrendo no Brasil e no mundo, ao mesmo tempo em que muitos de nossos familiares e amigos ainda expõem suas vidas nas redes sociais para qualquer pessoa, sem qualquer filtro. Há muito o que ser debatido. 

A pandemia trouxe com ela a necessidade de todos se adaptarem rapidamente à realidade da ampla utilização dos serviços digitais e do home office. Fica claro que estamos diante de um momento que pede uma contínua e rápida transformação digital para praticamente todos nossos processos de negócio. Entender e otimizar as novas tecnologias se torna fundamental para atingir os objetivos corporativos e considerar a Segurança da Informação e a Privacidade de Dados é parte do caminho para obtenção do sucesso.


Oscar Zuccarelli é gerente de segurança da informação da Certisign, IDTech especializada em identificação e segurança digital.