Seus dados estão à venda. Quais os riscos e como lidar com isso

Vazamento de 223 milhões de CPFs, além de outras informações, pode resultar em onda de golpes. Especialistas em segurança digital falam com o ‘Nexo’ sobre o que pode ser feito.

Cerca de 223 milhões de brasileiros – inclusive mortos – tiveram dados pessoais expostos na internet. Informações como nome, endereço, registros de automóvel, score (análise de crédito individual), declarações de imposto de renda e salário foram parar em fóruns na chamada dark web. Parte deles está disponível gratuitamente. Outra parte está sendo vendida para quem quer que tenha interesse, em transações difíceis de rastrear, feitas com criptomoedas e perfis falsos.

A história teve início no dia 19 de janeiro, quando a empresa de segurança cibernética PSafe revelou o vazamento. A suspeita é de que as informações tenham vazado do banco de dados da Serasa Experian, empresa que fornece subsídios para concessão de crédito. Ela nega que seja a fonte dos dados.

O caso está sendo apurado pelos Procons de São Paulo e Amazonas, e pela Secretária Nacional do Consumidor, ligada ao Ministério da Justiça. A Serasa Experian tem até o dia 8 de fevereiro para dar explicações sobre o episódio.

Meus dados foram vazados?

A maior parte dos brasileiros teve seus dados expostos no vazamento. Até mesmo autoridades, como o presidente Jair Bolsonaro e todos os ministros do Supremo Tribunal Federal, estão no pacote.

Alguns dos dados, como o CPF, são dados pessoais públicos – ou seja, eles podem ser consultados e divulgados publicamente, mas cabe ao indivíduo controlar como isso é feito. Já outros, como a declaração de imposto de renda, são sigilosos e só podem ser vistos por terceiros sem a autorização do contribuinte em casos muito específicos, como um processo judicial, por exemplo.

No vazamento, há os dois tipos. Nem todo mundo teve os mesmos dados comprometidos. As informações variam de pessoa para pessoa. Um site reuniu os materiais que foram disponibilizados gratuitamente e criou um mecanismo de consulta individual para aqueles que desejam saber o que exatamente foi divulgado.

O uso de plataformas como essa não é consenso entre especialistas da área de segurança cibernética. Para Ronaldo Lemos, advogado de direito digital e professor da Universidade de Columbia, em Nova York, trata-se de uma iniciativa positiva para que a população se informe acerca do vazamento.

“Essa informação coletiva é uma vacina que permite que as pessoas desconfiem de atividades suspeitas”, escreveu no Twitter na segunda-feira (1º).

Para outros, é necessário cautela antes de usar o site, que pede CPF e data de nascimento do usuário. “Os riscos podem não ser tão fáceis de mensurar”, disse, também no Twitter, Nina da Hora, pesquisadora de ciência da computação na Pontifícia Universidade Católica do Rio de Janeiro.

Aos que não desejam usar um serviço do tipo, o consenso entre os profissionais da área é: assuma que sim, todos os seus dados foram vazados, e que não há o que possa ser feito a nível individual.

“Uma vez no meio digital, dificilmente é possível apagar ou retirar informações vazadas de forma permanente”, disse ao Nexo Alexandre Mattar, CEO da Hyperativa, empresa de tecnologia que atua com o processamento e manuseio de dados de meios de pagamentos.

“Um ponto importante aqui é que esses dados estão disponíveis para serem comprados, eles não estão sendo distribuídos de forma gratuita. Assim, é possível que criminosos comprem essas informações, mas em lotes, principalmente devido aos preços cobrados. Ações coordenadas da polícia conseguem muitas vezes ir atrás dos fóruns onde essas informações estão sendo negociadas e monitorar quem as está comprando. Mas na essência, há pouco que um usuário comum pode fazer”, afirmou.

Outros vazamentos recentes

MINISTÉRIO DA SAÚDE

Em dezembro de 2020, uma falha no sistema de dados do Ministério da Saúde expôs informações de 243 milhões de brasileiros (também com dados de pessoas que já morreram) na internet. O órgão admitiu a “exposição cadastral”, mas não o “acesso às informações”, e corrigiu a falha após reportagem publicada pelo jornal O Estado de S. Paulo.

ENEL

Em novembro de 2020, o grupo privado de energia elétrica Enel foi acionado pelo Procon-SP pelo vazamento de dados de 300 mil clientes na Região Metropolitana de São Paulo. Num prazo de 72 horas exigido pelo órgão, a empresa informou que foi alvo de um ataque virtual.

FACEBOOK/INSTAGRAM

Em outubro de 2020, o Procon-SP notificou o Facebook sobre um possível vazamento de informações pessoais, como e-mail e telefone, de cinco milhões de crianças no Instagram. Não há notícias de quais providências foram tomadas pela empresa após o vazamento, mas o caso teria acontecido em função de agentes externos.

Quais são os riscos

Na mão de indivíduos mal-intencionados, dados como CPF, endereço e informações de renda mensal podem ser usados para golpes como a solicitação de cartão de crédito ou para a realização de empréstimos e financiamentos.

“Quanto mais dados se têm sobre uma pessoa, mais fácil fica de enganá-la para que se torne vítima de fraudes”, disse ao Nexo Thamilla Talarico, advogada especializada em direito digital e sócia do escritório Daniel Advogados.

“É o que chamamos de ‘engenharia social’, quando alguém se faz passar por outra pessoa, seja por um e-mail falso supostamente vindo de seu chefe ou um telefonema supostamente do serviço de telefonia que você contrata, ou do banco onde você tem conta”

“Com uma mera ligação ou mensagem de texto, que começa com o pedido de confirmação de certas informações suas – precisamente esses dados vazados – e acaba com o pedido de mais informações como senha de banco, confirmação de endereço residencial e às vezes acabam até com um pedido de empréstimo”, afirmou.

As técnicas de engenharia social não demandam grande esforço dos criminosos, já que a maior parte das pessoas aceitaria fornecer deliberadamente seus dados em troca de benefícios, mesmo que pequenos.

Levantamento da empresa de segurança cibernética Kaspersky, publicado em setembro de 2020 a partir de entrevistas com 10,5 mil pessoas, mostrou que 80% dos brasileiros entregariam informações pessoais em troca de benefícios como descontos e participações em eventos exclusivos.

“O brasileiro não tem ciência do poder dos dados”, afirmou ao Nexo Fabio Assolini, analista sênior de segurança da Kaspersky. “A maior parte das pessoas no Brasil não tem visão do que é privacidade”.

“Não é porque não tenho nada a esconder que tudo bem qualquer e toda instituição, pública ou privada, coletar e fazer o uso que quiser dos meus dados”, disse Talarico.

“Nossos dados hoje são uma extensão da nossa personalidade. Com eles é possível formar um perfil tão certeiro nosso capaz até de antecipar nossos interesses, gostos e pesquisas online, nos direcionando ou manipulando para o lado que for do interesse de quem o está fazendo”, afirmou.

Como se proteger

Em casos de vazamentos massivos – como o dos 223 milhões de CPFs – não há muito o que você possa fazer para se proteger, já que não se trata de um descuido individual da sua parte.

Segundo Thamilla Talarico, o caminho é agir coletivamente e pressionar empresas e autoridades para que a Lei Geral de Proteção de Dados – que começou a vigorar em 2020 – seja cumprida.

“Tudo o que podemos e devemos fazer hoje é cobrar as empresas que nos prestam serviços, assim como o governo, tratem sempre os nossos dados pessoais para uma finalidade específica e legítima, que a coleta e uso dos mesmos seja adequada e não excessiva, e que nossos dados sejam tratados com segurança e transparência”, disse.

Alexandre Mattar concorda com essa visão, mas oferece algumas boas práticas de segurança digital que, apesar de acrescentarem uma camada extra de proteção, ainda podem falhar em casos de vazamentos massivos.

“Resta ao usuário comum ativar todos os recursos de proteção que ferramentas online oferecem, como autenticação em dois fatores. E sempre suspeitar de todas mensagens e ligações”, afirmou.

Fabio Assolini engrossa o coro de que, uma vez que os dados foram vazados, pouco se pode fazer para removê-los. Mas ele recomenda duas boas práticas.

A primeira é monitorar o que é feito com o seu CPF. “Há ferramentas que fazem isso, algumas delas pagas. Mas há uma gratuita que é fantástica, o Registrato, do Banco Central”, disse.

No Registrato, você pode cadastrar seu CPF e monitorar abertura de contas em seu nome, registro de chaves Pix, solicitação de empréstimos, cartões de crédito e financiamento e dados de transações internacionais. O cadastro pode ser feito no site da plataforma. “É uma forma de saber se alguém cometeu fraudes”, afirmou Assolini.

A outra boa prática recomendada por ele é: minta. “Se o site não envolve compra e venda de um serviço ou produto, para que informar seus dados reais? Minta descaradamente. Use um CPF falso [criado em geradores online], use um endereço falso. Minta descaradamente”.

 

Matéria publica no portal Nexo. Leia aqui.

Vazamento de 223 milhões de CPFs, além de outras informações, pode resultar em onda de golpes. Especialistas em segurança digital falam com o ‘Nexo’ sobre o que pode ser feito.

Cerca de 223 milhões de brasileiros – inclusive mortos – tiveram dados pessoais expostos na internet. Informações como nome, endereço, registros de automóvel, score (análise de crédito individual), declarações de imposto de renda e salário foram parar em fóruns na chamada dark web. Parte deles está disponível gratuitamente. Outra parte está sendo vendida para quem quer que tenha interesse, em transações difíceis de rastrear, feitas com criptomoedas e perfis falsos.

A história teve início no dia 19 de janeiro, quando a empresa de segurança cibernética PSafe revelou o vazamento. A suspeita é de que as informações tenham vazado do banco de dados da Serasa Experian, empresa que fornece subsídios para concessão de crédito. Ela nega que seja a fonte dos dados.

O caso está sendo apurado pelos Procons de São Paulo e Amazonas, e pela Secretária Nacional do Consumidor, ligada ao Ministério da Justiça. A Serasa Experian tem até o dia 8 de fevereiro para dar explicações sobre o episódio.

Meus dados foram vazados?

A maior parte dos brasileiros teve seus dados expostos no vazamento. Até mesmo autoridades, como o presidente Jair Bolsonaro e todos os ministros do Supremo Tribunal Federal, estão no pacote.

Alguns dos dados, como o CPF, são dados pessoais públicos – ou seja, eles podem ser consultados e divulgados publicamente, mas cabe ao indivíduo controlar como isso é feito. Já outros, como a declaração de imposto de renda, são sigilosos e só podem ser vistos por terceiros sem a autorização do contribuinte em casos muito específicos, como um processo judicial, por exemplo.

No vazamento, há os dois tipos. Nem todo mundo teve os mesmos dados comprometidos. As informações variam de pessoa para pessoa. Um site reuniu os materiais que foram disponibilizados gratuitamente e criou um mecanismo de consulta individual para aqueles que desejam saber o que exatamente foi divulgado.

O uso de plataformas como essa não é consenso entre especialistas da área de segurança cibernética. Para Ronaldo Lemos, advogado de direito digital e professor da Universidade de Columbia, em Nova York, trata-se de uma iniciativa positiva para que a população se informe acerca do vazamento.

“Essa informação coletiva é uma vacina que permite que as pessoas desconfiem de atividades suspeitas”, escreveu no Twitter na segunda-feira (1º).

Para outros, é necessário cautela antes de usar o site, que pede CPF e data de nascimento do usuário. “Os riscos podem não ser tão fáceis de mensurar”, disse, também no Twitter, Nina da Hora, pesquisadora de ciência da computação na Pontifícia Universidade Católica do Rio de Janeiro.

Aos que não desejam usar um serviço do tipo, o consenso entre os profissionais da área é: assuma que sim, todos os seus dados foram vazados, e que não há o que possa ser feito a nível individual.

“Uma vez no meio digital, dificilmente é possível apagar ou retirar informações vazadas de forma permanente”, disse ao Nexo Alexandre Mattar, CEO da Hyperativa, empresa de tecnologia que atua com o processamento e manuseio de dados de meios de pagamentos.

“Um ponto importante aqui é que esses dados estão disponíveis para serem comprados, eles não estão sendo distribuídos de forma gratuita. Assim, é possível que criminosos comprem essas informações, mas em lotes, principalmente devido aos preços cobrados. Ações coordenadas da polícia conseguem muitas vezes ir atrás dos fóruns onde essas informações estão sendo negociadas e monitorar quem as está comprando. Mas na essência, há pouco que um usuário comum pode fazer”, afirmou.

Outros vazamentos recentes

MINISTÉRIO DA SAÚDE

Em dezembro de 2020, uma falha no sistema de dados do Ministério da Saúde expôs informações de 243 milhões de brasileiros (também com dados de pessoas que já morreram) na internet. O órgão admitiu a “exposição cadastral”, mas não o “acesso às informações”, e corrigiu a falha após reportagem publicada pelo jornal O Estado de S. Paulo.

ENEL

Em novembro de 2020, o grupo privado de energia elétrica Enel foi acionado pelo Procon-SP pelo vazamento de dados de 300 mil clientes na Região Metropolitana de São Paulo. Num prazo de 72 horas exigido pelo órgão, a empresa informou que foi alvo de um ataque virtual.

FACEBOOK/INSTAGRAM

Em outubro de 2020, o Procon-SP notificou o Facebook sobre um possível vazamento de informações pessoais, como e-mail e telefone, de cinco milhões de crianças no Instagram. Não há notícias de quais providências foram tomadas pela empresa após o vazamento, mas o caso teria acontecido em função de agentes externos.

Quais são os riscos

Na mão de indivíduos mal-intencionados, dados como CPF, endereço e informações de renda mensal podem ser usados para golpes como a solicitação de cartão de crédito ou para a realização de empréstimos e financiamentos.

“Quanto mais dados se têm sobre uma pessoa, mais fácil fica de enganá-la para que se torne vítima de fraudes”, disse ao Nexo Thamilla Talarico, advogada especializada em direito digital e sócia do escritório Daniel Advogados.

“É o que chamamos de ‘engenharia social’, quando alguém se faz passar por outra pessoa, seja por um e-mail falso supostamente vindo de seu chefe ou um telefonema supostamente do serviço de telefonia que você contrata, ou do banco onde você tem conta”

“Com uma mera ligação ou mensagem de texto, que começa com o pedido de confirmação de certas informações suas – precisamente esses dados vazados – e acaba com o pedido de mais informações como senha de banco, confirmação de endereço residencial e às vezes acabam até com um pedido de empréstimo”, afirmou.

As técnicas de engenharia social não demandam grande esforço dos criminosos, já que a maior parte das pessoas aceitaria fornecer deliberadamente seus dados em troca de benefícios, mesmo que pequenos.

Levantamento da empresa de segurança cibernética Kaspersky, publicado em setembro de 2020 a partir de entrevistas com 10,5 mil pessoas, mostrou que 80% dos brasileiros entregariam informações pessoais em troca de benefícios como descontos e participações em eventos exclusivos.

“O brasileiro não tem ciência do poder dos dados”, afirmou ao Nexo Fabio Assolini, analista sênior de segurança da Kaspersky. “A maior parte das pessoas no Brasil não tem visão do que é privacidade”.

“Não é porque não tenho nada a esconder que tudo bem qualquer e toda instituição, pública ou privada, coletar e fazer o uso que quiser dos meus dados”, disse Talarico.

“Nossos dados hoje são uma extensão da nossa personalidade. Com eles é possível formar um perfil tão certeiro nosso capaz até de antecipar nossos interesses, gostos e pesquisas online, nos direcionando ou manipulando para o lado que for do interesse de quem o está fazendo”, afirmou.

Como se proteger

Em casos de vazamentos massivos – como o dos 223 milhões de CPFs – não há muito o que você possa fazer para se proteger, já que não se trata de um descuido individual da sua parte.

Segundo Thamilla Talarico, o caminho é agir coletivamente e pressionar empresas e autoridades para que a Lei Geral de Proteção de Dados – que começou a vigorar em 2020 – seja cumprida.

“Tudo o que podemos e devemos fazer hoje é cobrar as empresas que nos prestam serviços, assim como o governo, tratem sempre os nossos dados pessoais para uma finalidade específica e legítima, que a coleta e uso dos mesmos seja adequada e não excessiva, e que nossos dados sejam tratados com segurança e transparência”, disse.

Alexandre Mattar concorda com essa visão, mas oferece algumas boas práticas de segurança digital que, apesar de acrescentarem uma camada extra de proteção, ainda podem falhar em casos de vazamentos massivos.

“Resta ao usuário comum ativar todos os recursos de proteção que ferramentas online oferecem, como autenticação em dois fatores. E sempre suspeitar de todas mensagens e ligações”, afirmou.

Fabio Assolini engrossa o coro de que, uma vez que os dados foram vazados, pouco se pode fazer para removê-los. Mas ele recomenda duas boas práticas.

A primeira é monitorar o que é feito com o seu CPF. “Há ferramentas que fazem isso, algumas delas pagas. Mas há uma gratuita que é fantástica, o Registrato, do Banco Central”, disse.

No Registrato, você pode cadastrar seu CPF e monitorar abertura de contas em seu nome, registro de chaves Pix, solicitação de empréstimos, cartões de crédito e financiamento e dados de transações internacionais. O cadastro pode ser feito no site da plataforma. “É uma forma de saber se alguém cometeu fraudes”, afirmou Assolini.

A outra boa prática recomendada por ele é: minta. “Se o site não envolve compra e venda de um serviço ou produto, para que informar seus dados reais? Minta descaradamente. Use um CPF falso [criado em geradores online], use um endereço falso. Minta descaradamente”.

 

Matéria publica no portal Nexo. Leia aqui.










© Copyright 2020-2021 - Daniel Law. Todos os direitos reservados.