Alexandre Aragão
Nesta sexta-feira (28/1) é celebrado o Dia Internacional da Proteção de Dados. Há uma semana (21/1), o Banco Central deu um exemplo de por que o tema está em alta: a autoridade monetária comunicou um incidente de segurança com vazamento de dados pessoais vinculados a chaves PIX sob responsabilidade de uma empresa de pagamentos (leia mais na lista abaixo).
Relatório divulgado neste ano pela empresa de segurança digital Kaspersky indica que, durante a pandemia, empresas sofreram mais que o dobro de tentativas de ataques cibernéticos em comparação a 2019. Os dados da pesquisa foram coletados até novembro de 2021. Análise de outra empresa de cibersegurança, a Apura Cyber Intelligence, relembra que ao menos 69 companhias brasileiras foram alvo de ataques de vazamento e sequestro de dados no primeiro semestre de 2021.
Como tendência, as firmas indicam que os ataques devem ficar mais personalizados e sofisticados. E, principalmente na América Latina, tendem a visar bancos de dados de grandes empresas, que têm maiores responsabilidades em relação à proteção de dados.
Abaixo, o JOTA lista alguns dos principais ataques e quais foram as consequências até agora.
1) Cadastros de chaves PIX
O Banco Central comunicou na sexta-feira passada (21/1) um incidente de segurança com vazamento de dados pessoais vinculado a chaves PIX que estavam sob a guarda e a responsabilidade da empresa Acesso Soluções de Pagamento.
Os dados de 160.147 chaves foram potencialmente expostos. Foram informações como nome completo, CPF, instituição, número da agência e conta. O fato ocorreu entre 3 e 5 de dezembro de 2021. De acordo com a nota do Banco Central, não foram expostos dados sensíveis, como senhas, extratos ou outras informações sob sigilo bancário.
- +JOTA:‘Fomentar cultura de proteção de dados no país ainda é desafio’, diz diretor-presidente da ANPD
- +JOTA:LGPD: 77% das decisões que citam lei não resultaram em condenação
O passo seguinte, segundo o BC, será notificar individualmente as pessoas que tiveram dados expostos, por meio do aplicativo ou pelo internet banking. Não será feito contato por outros meios. A autoridade monetária disse ainda que adotou as ações necessárias para a apuração detalhada do caso e aplicará as sanções previstas nas regras em vigor.
“Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.”
2) Operação Deepwater
Em janeiro do ano passado, a Autoridade Nacional de Proteção de Dados (ANPD) requisitou que a Polícia Federal abrisse uma investigação para apurar o vazamento de dados de mais de 223 milhões de brasileiros — número maior que a população do país, uma vez que a base de dados incluía até pessoas falecidas. O vazamento foi identificado pela empresa PSafe.
Em comunicado divulgado à época, a ANPD informou que iria “apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação”.
O vazamento incluía nome completo, fotos, endereço, renda mensal e CPF, entre outras informações pessoais, inclusive de pessoas mortas. Até hoje, não se sabe qual é a fonte das informações. A principal suspeita é que haja mais de uma fonte e que os dados tenham sido agregados durante anos.
O relatório da Polícia Federal sobre o caso ainda não foi concluído. Em março, a PF cumpriu mandados de prisão autorizados pelo ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF), na Operação Deepwater.
Foram presos em Uberlândia (MG) e em Petrolina (PE) dois suspeitos de terem oferecido o banco de dados em fóruns na internet.
3) Vazamentos de dados no Ministério da Saúde
Em dezembro de 2020, reportagem do jornal O Estado de S. Paulo revelou que dados de 243 milhões de brasileiros cadastrados no Sistema Único de Saúde (SUS) ou como beneficiários de planos de saúde ficaram expostos na internet por falhas de segurança do Ministério da Saúde.
As informações que ficaram expostas na internet, como nome completo, CPF, endereço e telefone, deveriam estar protegidas por login e senha, mas havia uma vulnerabilidade no código que permitia que qualquer usuário consultasse o banco de dados.
Uma falha semelhante já havia sido reportada ao ministério pela Open Knowledge Brasil (OKBR), organização do terceiro setor que promove segurança digital, transparência e acesso a dados públicos.
Em nota ao jornal, o Ministério da Saúde afirmou que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério”. A pasta acrescentou também que “ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido”.
Desde então, outro sistema do Ministério da Saúde ficou fora do ar durante meses, por uma possível ação de hackers. Em dezembro do ano passado, o DataSUS ficou inacessível, deixando os cidadãos sem informações. O problema demorou quase um mês para ser sanado.
4) Netshoes
Em 2019, a Netshoes concordou em pagar R$ 500 mil de indenização por danos morais, conforme acordo celebrado com o Ministério Público do Distrito Federal, após informações de cerca de 2 milhões de clientes terem sido expostas na internet. O caso veio a público no início de 2018 quando dados como nome completo, CPF, email e histórico de compras vazaram devido a falhas em sistemas da empresa.
À época, a Netshoes disse em nota à imprensa que acionou “órgãos competentes para a mais breve apuração, esclarecimento e solução do ocorrido com total transparência”. A empresa também disse que “tem a proteção de dados como um de seus mais sólidos compromissos” e que não identificou “qualquer indício de invasão à sua estrutura tecnológica”.
5) Vazamentos de dados da Enel em Osasco
Em novembro de 2020, cerca de 290 mil clientes da concessionária de energia Enel em Osasco, na Grande São Paulo, tiveram informações sensíveis vazadas após falha de segurança. Além de dados cadastrais, vazaram índices de leitura, nível de consumo e histórico de pagamentos.
Em nota, a concessionária afirmou que “a partir do momento que tomou conhecimento do incidente pontual, desabilitou imediatamente o acesso a este banco de dados e iniciou um processo de verificação interna”.
O Procon-SP notificou a empresa que, em fevereiro do ano passado, disse que ainda não havia finalizado a investigação e nem identificado a origem do vazamento. “O Procon-SP é corresponsável pela aplicação da LGPD, com atribuição legal para aplicar legislações relacionadas à relação de consumo”, disse o órgão em nota.
“Desta forma, a Enel deve informar a essa instituição o desenvolvimento das investigações, estabelecendo prazos para apresentação de identificação dos responsáveis e as medidas legais adotadas.” O caso ainda não foi concluído.
