Como o vazamento de dados acontece

Views: 4765
0 1
Read Time:4 Minute, 1 Second

Dois grandes vazamentos de dados aconteceram recentemente no Brasil — um expôs os CPFs de 223 milhões de pessoas vivas e mortas e no outro os registros de mais de 100 milhões de contas de celulares vazaram. Nos dois casos, as informações estavam sendo vendidas por criminosos na internet. 

Além da preocupação com golpes e crimes, surge a dúvida de como as informações sigilosas dos brasileiros podem ser obtidas em massa, quem é responsabilizado pelos vazamentos e quais pessoas têm interesse em comprar esses dados. 

Vazamento por invasão de hackers 

Vazamentos de dados no meio digital podem ocorrer de inúmeras formas. O especialista em segurança digital, Alvaro Scheid, explica que a maior parte dos ataques hoje em dia acontece via phishing, quando o invasor envia um e-mail ou outra mensagem de texto com um link malicioso que promete alguma promoção ou recompensa. 

— A maioria dos ataques estão nessa categoria porque não requer muito conhecimento do hacker para criar o mecanismo que é usado na invasão. Há casos em que o malware (aplicação maliciosa) está embutido em formulários de excel, documentos do word e arquivos pdf que são enviados para os usuários — explica o especialista. 

Segundo Alvaro, outra forma comum de invasão é quando o sistema da empresa não está atualizado. Nesse caso, o hacker consegue explorar as vulnerabilidades conhecidas do software e acessar o banco de dados.

Vazamento interno 

Apesar dos ataques hacker terem se popularizado, o vazamento também pode ser realizado por alguém de dentro da empresa. Por exemplo, quando um funcionário mal treinado acidentalmente envia um email com um documento errado para outra pessoa, ou age de má fé, divulgando um dado pessoal do cliente. 

Onde os dados vazados são divulgados? 

A exemplo do que aconteceu nos dois vazamentos recentes no Brasil, as informações costumam ser vendidas na “deepweb” — uma camada mais profunda da internet que não pode ser encontrada por buscadores como o Google. Os dados são negociados por meio de moedas digitais criptografadas que permitem a transação anônima.

Segundo Alvaro, quando as atividades do hacker são de cunho político, existem diversos canais para divulgação do material, como o portal WikiLeaks. Nesses casos, as informações também podem ser cedidas diretamente a um repórter. 

Quem compra os dados? 

Além de serem utilizadas por criminosos virtuais para aplicar golpes, como abrir contas e pedir empréstimos em seu nome, as informações pessoais também são valiosas para empresas que trabalham com dados roubados para obter vantagens. 

Número de celular e e-mail podem ser usados para estratégias de marketing. Além disso, dados mais específicos, como bairro onde mora e informações de veículos, ajudam a construir o perfil do consumidor, para oferecer produtos de maneira personalizada. As informações vazadas podem ainda ser vendidas de volta para a empresa que perdeu.

Quem é responsabilizado pelos vazamentos? 

Segundo a advogada especialista na lei de proteção de dados, Ana Isabel Mendes, quando acontece o vazamento, a responsabilidade é total da empresa que armazena os dados. Ela é quem precisa proteger seu sistema de ataques.  

Segundo a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2020, a empresa que descumprir a legislação poderá sofrer penalidades administrativas, incluindo multas de até 2% do seu faturamento anual. Essas multas, no entanto, serão aplicáveis apenas a partir de agosto de 2021. 

A empresa só não será responsabilizada pelo vazamento se conseguir comprovar um destes três pontos, conforme prevê a legislação: 

– A empresa não realizou o tratamento de dados pessoais 

– Embora tenha realizado o tratamento de dados pessoais, não houve violação à legislação de proteção de dados 

– O dano é culpa exclusiva do titular dos dados ou de terceiro 

Como a LGPD exige que a empresa garanta a segurança dessas informações pessoais, é essencial que elas invistam em cibersegurança. Existem softwares que cobrem diversas áreas do sistema, onde os hackers podem acessar informações confidenciais. Além disso, os sistemas da empresa precisam estar sempre atualizados. 

Por que mesmo com a LGPD em vigor, vazamentos de dados continuam acontecendo?

Segundo Ana Isabel, a desinformação é o principal fator que contribui para a legislação ainda não estar sendo cumprida. 

— As empresas ainda não estão cientes que, ao não exigir que as outras empresas com as quais elas compartilham dados estejam adequadas, estão sob risco de serem responsabilizadas em caso de problemas de segurança, já que respondem conjuntamente — explicou. 

A advogada também destaca que os titulares dos dados (todos nós) precisam exigir que suas informações sejam utilizadas e protegidas de forma adequada, conforme prevê a lei: 

— Os titulares de dados não exigem seus direitos e, por isso, as empresas acabam por acreditar que seja desnecessária a adequação, sendo alvos fáceis de vazamentos e prejuízos imensos diante dos seus consumidores e do próprio mercado. 

FONTE: NSC TOTAL

POSTS RELACIONADOS