O vazamento de dados, revelado na última semana, que expôs mais de 220 milhões de brasileiros, reacendeu o alerta sobre os cuidados com a cibersegurança. Em um fórum na internet, compilado ao que se estima desde agosto de 2019, foram divulgadas fotos de rostos, endereço, telefone, e-mail, score de crédito, salário, renda e outros dados de milhões de brasileiros, inclusive já mortos - o que explica a conta acima do número total da atual população. O País, que conta com a Lei Geral de Proteção de Dados (LGPD) desde o segundo semestre de 2020, tem agora pela frente o desafio de cobrar de maneira convincente às empresas envolvidas a segurança dos dados dos usuários. Enquanto isso, aos cidadãos, cabe tomar todos os cuidados e consciência do mau uso que pode ser dado aos seus dados no universo digital.
No caso do megavazamento registrado foram divulgados um compilado de dados disponibilizado gratuitamente e outro com preços que variam de US$ 0,075 a US$ 1 por CPF. O pagamento é feito somente em bitcoin. Segundo informado no site especializado Tecnoblog, no total são 37 bases, com algumas delas trazendo dados do Mosaic - serviço da Serasa Experian que classifica os consumidores em subgrupos para anúncios segmentados.
A empresa nega envolvimento. Enquanto isso, os brasileiros seguem de mãos atadas sobre o que fazer em relação a esse caso, já que agora ao usuário resta apenas redobrar a atenção a qualquer uso suspeito dessas informações. Não há serviços ainda disponíveis que permitam a consulta para saber e seus dados foram vazados ou não.
“O mais comum é que os dados sejam utilizados para golpes de phishing, uma vez que o cibercriminoso tenha o CPF e outros dados reais da pessoa, seria fácil se passar por um serviço legítimo e utilizar engenharia social para obter dados mais críticos da vítima, que poderiam ser utilizados para pedir empréstimos, senha de banco e contratações de serviços, por exemplo”, explica o diretor do dfndr lab, Emilio Simoni.
Segundo ele, devido ao alto valor dessas informações para o mercado, os dados têm sido comercializados ilegalmente em fóruns da dark web. Além dos dados de pessoas físicas, também foram expostas informações sobre mais de 104 milhões de veículos, contendo número de chassi, placa do veículo, município, cor, marca, modelo, ano de fabricação, cilindradas e até mesmo o tipo de combustível utilizado. E informações de 40 milhões de empresas, contendo CNPJ, razão social, nome fantasia e data de fundação.
De acordo com a pesquisadora de segurança da informação da ESET na América Latina, Martina López, além da importância de que as empresas por trás dos serviços e aplicativos tomem as medidas necessárias para proteger os dados do usuário, é preciso também que quem faça uso dos serviços saibam como minimizar os riscos no caso de seus dados serem afetados.
“Muitos não estão cientes das consequências da exposição de dados pessoais, como nomes, idade ou endereços de e-mail na internet, porque não sabem como os invasores usam essas informações para realizar suas atividades maliciosas. A falta de consciência e boas práticas de segurança, como criar senhas seguras, instalar soluções de segurança em cada dispositivo ou atualizar sistemas, têm um impacto direto no número de violações de dados que ocorrem hoje e também no número de ataques ou incidentes de segurança sofridos pelos usuários”, afirma.
No caso do phishing, os ataques buscam roubar credenciais de acesso ou dados financeiros ou também baixar malware. Dependendo do objetivo da campanha, eles podem conter arquivos maliciosos ou links para páginas da web que realizam o roubo de informações, desta vez diretamente do usuário.
A obtenção de senhas e dados financeiros pode gerar atividades fraudulentas dentro ou fora do aplicativo envolvido. No caso dos dados financeiros, podem ser usados para fazer compras por conta do proprietário ou para vendê-los no mercado clandestino. No caso das senhas, além de serem comercializadas, elas podem ser utilizadas para acesso em outros serviços, testando se o usuário utilizou a mesma combinação ou com poucas variações em outra conta.
Busca pelos culpados
As sanções previstas pela LGPD às empresas que não tomam os cuidados necessários em relação ao tratamento dos dados dos usuários prevê multas que podem chegar a R$50 milhões por infração. Entretanto, elas só passam a valer a partir de agosto de 2021. Enquanto isso, a Secretaria Nacional do Consumidor (Senacon)notificou nessa segunda-feira (25) a Serasa para pedir esclarecimentos sobre o vazamento. Mesmo negando envolvimento, a empresa tem 15 dias para responder à demanda.