Dados: vazamento tem preocupado as pessoas (Jasmin Merdan/Getty Images)
Tamires Vitorio
Publicado em 11 de fevereiro de 2021 às 13h27.
Última atualização em 11 de fevereiro de 2021 às 13h41.
Após encontrar mais de 223 milhões de CPFs brasileiros na deepweb, a empresa de cibersegurança PSafe anunciou na quarta-feira (10) a descoberta de mais um megavazamento. A nova falha de segurança expôs mais de 102 milhões de números de celular, incluindo o de personalidades como os jornalistas William Bonner e Fátima Bernardes, além de um suposto número de telefone pessoal do presidente Jair Bolsonaro.
Ainda não há uma definição se o novo vazamento, agora focado somente em números de celular, tem alguma relação com a violação de dados divulgada no fim de janeiro. Para especialistas em segurança digital entrevistados pela EXAME, existe um risco considerável de que os dados já estavam sendo repassados (e comercializados) na internet muito tempo antes da PSafe identificar e relatar o caso.
A ideia não é assustar. Mas, em pleno 2021, é cada vez mais difícil imaginar que alguma informação pessoal não tenha sido exposta. A expressão “os dados são o novo petróleo” já se tornou comum – e até cansativa. A venda dessas informações confidenciais nos mais obscuros locais da internet se tornou um negócio cada vez mais lucrativo para os criminosos “e que dificilmente vai parar”, diz Fabro Steibel, diretor executivo do Instituto de Tecnologia Social.
Um estudo feito pela IBM no ano passado aponta que o custo médio de um vazamento de dados para uma empresa brasileira aumentou 10,5% em 2020 para 1,1 milhão de dólares, algo em torno de 5,9 milhões de reais em conversão direta. A conta sai ainda mais cara nos Estados Unidos, onde o custo médio da exposição de dados para as empresas é de 3,8 milhões de dólares, mais de 20 milhões de reais.
O rombo financeiro pode ficar ainda maior com punições de agências reguladoras de dados. Europa, Estados Unidos e Brasil já adotaram leis específicas para lidar com a coleta e o tratamento de informações coletadas pelas companhias na internet. Por aqui, a Lei Geral de Proteção de Dados entrou em vigor em setembro do ano passado e prevê multas que podem chegar a até 50 milhões de reais.
Na maioria das vezes, os vazamentos ocorrem por falha humana. O mais comum é que uma pessoa seja vítima de algum golpe e permita de forma inconsciente o acesso de criminosos às informações. Uma pesquisa realizada no ano passado pela consultoria Oliver Wyman e obtida com exclusividade pela EXAME aponta que o Brasil apresenta índices preocupantes de educação em risco cibernético. Na lista com 50 países, o Brasil estava na 42ª posição.
Ainda não se sabem muitos detalhes acerca dos vazamentos. A PSafe aponta que o último lote de dados estava à venda na internet pelo menos desde o dia 3 de fevereiro. Para verificar a veracidade das informações, a companhia entrou em contato com um dos criminosos que estaria em posse dos dados. “As bases verificadas estavam à venda pelo valor de 0.026 Bitcoin cada, o que seria equivalente a pouco mais de 6.200 reais”, afirmou a PSafe em comunicado.
Tudo isso acontece na deep web. São sites e fóruns que não são indexados por buscadores tradicionais e muitas vezes só podem ser acessados utilizando navegadores específicos. É como uma parte escondida da internet. Por essas particularidades, ela oferece mais privacidade aos internautas, que dificilmente podem ter suas conexões rastreadas. Este conjunto de características torna a deep web um ambiente favorável para crimes digitais.
Em conversa com a empresa de segurança virtual, o suposto invasor teria afirmado que o vazamento ocorreu por uma falha das operadoras de celular. As vítimas teriam sido companhias Vivo e Claro e tiveram 57,2 milhões e 45,6 milhões de números de celular expostos na internet, respectivamente. Mas é preciso ter cautela nesta afirmação. “Não podemos tomar as alegações de criminoso virtual como evidência”, diz Marco DeMello, presidente da PSafe. “A maneira com a qual os dados foram obtidos ainda não está clara.”
Procuradas, as empresas negaram os incidentes. Em nota, a Vivo informou que não houve qualquer vazamento de dados de seus sistemas e que “possui os mais rígidos controles de acesso aos dados dos consumidores e no combate às práticas que possam ameaçar sua privacidade”. A Claro, por sua vez, informou que irá iniciar uma investigação e “investe fortemente em políticas e procedimentos de segurança e mantém monitoramento constante, adotando medidas para identificar fraudes e proteger seus clientes”.
A PSafe afirma que já entrou em contato com a Autoridade Nacional de Proteção de Dados (ANPD) para uma investigação sobre o caso ser aberta.
Poucas semanas após o primeiro vazamento de dados, diferentes sites surgiram na internet com a promessa de que poderiam esclarecer se algum usuário foi ou não vítima da recente exposição virtual. Um destes serviços era o “Fui Vazado”, que informava possuir um sistema de checagem para informar se um determinado número e CPF foi ou não vazado. Para isso, no entanto, era preciso enviar o próprio número. E o problema é exatamente este: o próprio internauta cedendo suas informações.
Pouco tempo depois, o Supremo Tribunal Federal (STF) emitiu uma ordem para tirar o site do ar sob a justificativa de que era necessária uma investigação feita pela Polícia Federal sobre a página. O Procon-SP também agiu e solicitou a abertura de um inquérito. Em entrevista ao site Manual do Usuário, Allan Fernando, fundador do site, afirmou que não tem interesse nas informações e que "seus dados estão lá no meio também", fazendo referência aos vazamentos.
O site Have I Been Pwned é um dos serviços mais conhecidos para a checagem de e-mails que podem estar em listas vazadas na internet. A página não expõe informações dos usuários ou as próprias listas. Ela apenas informa que um determinado endereço de e-mail estava presente em listas de informações expostas em grandes vazamentos de informações, geralmente ocorridos em bancos de dados de empresas.
Não existe uma fórmula mágica. Esta é a opinião de especialistas quando o assunto é segurança da internet. Para a advogada especialista em direito digital, Gisele Truzzi, os vazamentos colocam todos como uma vítima em potencial. “Uma vez que você abre uma conta bancária, preenche um formulário na internet ou faz uma compra online, você está dando seus dados para a prestação deste serviço”, explica. “Você entrega essa informação acreditando que ela vai ser resguardada pela empresa.”
Mas isso não quer dizer que seja impossível se defender contra possíveis ataques virtuais. Algumas dicas simples podem fazer a diferença para evitar que seus dados sejam expostos na internet – ao menos por culpa do próprio usuário e não por consequência da falha de segurança de terceiros. A advogada recomenda atenção em dobro para contatos por celular, e-mail ou mensagem, mesmo aqueles que vêm de pessoas confiáveis, já que é possível clonar o WhatsApp de uma pessoa, por exemplo.
“O cidadão tem que ficar cada vez mais atento, porque vamos começar a sofrer uma onda de golpes eletrônicos fortes e mais específicos, personalizadas com informações que farão você de fato acreditar naquilo. Essas fraudes estarão cada vez mais especializadas e com informações mais coerentes”, diz Truzzi. Ela aconselha verificar quem está recebendo as informações, qual a finalidade e se os dados são realmente necessários para o serviço sendo prestado.
E pouco adianta remediar. “Não faz sentido mudar seu nome e os números de RG e CPF após um vazamento”, afirma Adriano Mendes, especialista em direito digital e sócio no escritório Assis e Mendes. “O melhor a fazer é manter a cautela e fazer um monitoramento em torno de suas informações. Infelizmente, neste momento, é impossível evitar vazamentos ou esperar que as atitudes de uma só pessoa resolvam os problemas.”
Mendes explica que é preciso redobrar a atenção no caso do recebimento de mensagens que solicitam o envio ou a mudança de senhas, principalmente quando o internauta não solicitou a mudança. Trata-se, muitas vezes, de um golpe de phishing, em que o criminoso aborda a vítima na tentativa de enganá-la para conseguir acesso às informações. É uma prática constante em redes sociais. “É um golpe já conhecido, desconfie”, afirma.
Outra recomendação é variar as senhas utilizadas em diferentes serviços. Isso porque se há um vazamento de dados, é possível que o usuário consiga acessar todas as contas que usam aquela mesma palavra-chave a partir da falha de segurança de uma única pessoa ou empresa. Ter contas de e-mail diferentes também ajuda, sendo uma para e-mails pessoais e outra apenas para cadastros em sites de e-commerce, por exemplo.
Neste contexto vale também ativar a autenticação em dois fatores. Serviços como Facebook e Instagram e principalmente bancos oferecem esta proteção. Mesmo que a senha seja exposta, o acesso só poderá ser feito a partir de um terminal que já acessou o serviço ou com o preenchimento de um código geralmente enviado por mensagem SMS no celular cadastrado.