No último dia 19 de julho, 100 milhões de norte-americanos e 6 milhões de canadenses tiveram todas as suas informações pessoais vazadas após uma invasão no sistema do banco Capital One. O acesso da hacker foi em 22 de março, e a situação fica ainda mais complicada: um conteúdo sobre os métodos da invasão estava disponível no repositório GitHub desde 21 de abril – totalizando quase três meses sem ter sido detectado e removido.
Como aconteceu o vazamento
O Capital One comunicou o vazamento dos dados dez dias após ter encontrado a falha, sendo bastante transparente quanto aos aproximadamente 106 milhões de clientes afetados. O comunicado informava que os dados acessados continham dados dos consumidores que se cadastraram para a aquisição de cartões de crédito.
No vazamento, a empresa falou que estavam informações como escores e limites de crédito, históricos de transações e pagamentos e informações de contato. Em menor quantia, também foram noticiados os vazamentos de números da previdência social e de contas bancárias.
O vazamento foi descoberto após uma notificação feita no dia 17 de julho por um pesquisador de segurança. Dois dias depois, a empresa encontrou a falha e a correta data do acesso indevido, em 22 e 23 de março.
O processo contra o GitHub
Agora, uma nova ação judicial aponta que, além do Capital One, também o GitHub tem sua parcela de culpa em toda a situação: segundo o processo, os números de cartões de crédito e da previdência social foram expostos desde o dia 21 de abril sem que o repositório nada fizesse.
De acordo com o documento, o GitHub seria um “encorajador de hackers”, pois essas informações deveriam ter sido facilmente identificadas por conterem um padrão de números. Tanto a plataforma quanto o Capital One, entretanto, afirmaram que somente estavam hospedadas no site as informações sobre o método que a hacker utilizou para acessar o sistema da financeira.
De qualquer forma, nenhuma das partes negou que a “chave” que poderia possibilitar muito mais prejuízos estava de fato no GitHub. É também inegável que esses dados deveriam ter sido identificados de forma mais rápida e eficiente. Mas como – e por quem?
GitHub: um local para monitorar riscos digitais
Vazamento de cartões de crédito, de credenciais ou de códigos de programação, não se pode deixar de notar a dimensão da comunidade do GitHub, que deve ser observada e monitorada por empresas que cuidam de seus dados sensíveis e de seus clientes.
O GitHub é um dos cinco sites que mais possuem dados sensíveis expostos, monitorados e removidos pela Axur. Não é para menos: por lá, existem inúmeras menções a marcas e empresas (algumas delas, inclusive, em perfis oficiais do Github). Dessa forma, não é nem um pouco incomum que no meio de tantos códigos e textos existam infrações capazes de causar prejuízos financeiros – assim como em qualquer lugar da internet que é marcado pela colaboração entre usuários.
Quais as ações corretas nesse tipo de caso?
Dois principais problemas atravessam a questão do vazamento de dados do Capital One: a falta de uma legislação adequada à proteção de dados nos Estados Unidos e, ainda, a falta de um monitoramento e reação adequados à atividade cibercriminosa.
Legislações de proteção de dados
É notório como vazamentos tão expressivos quanto o do Capital One estão se tornando recorrentes. É também visível que novas legislações estão apontando a responsabilidade das empresas sobre os dados de seus clientes, como é o caso da LGPD (Lei Geral de Proteção de Dados, nº 13.709/2018) e a europeia GDPR (General Data Protection Regulation).
Nos Estados Unidos, esse tipo de legislação ainda é inexistente (a não ser pelo California Consumer Privacy Act of 2018, ainda a ser implementado). Segundo especialistas, a falta de ação correta após o também gigantesco vazamento da Equifax, em 2017, mostra que esse tipo de problema tende a continuar ocorrendo. E as empresas certamente não deveriam ficar à espera de uma regulamentação para tomar a responsabilidade pelos dados de clientes.
Monitoramento e reação eficientes
O uso de ferramentas adequadas à detecção de códigos e outros tipos de vazamentos em uma plataforma como o GitHub é indispensável para empresas que se preocupam com a proatividade na identificação e remoção desse tipo de caso. Para além de legislações, evitar que uma brecha fique exposta por meses faz parte do processo de preocupação com a jornada do consumidor no ambiente on-line.
Na Axur, nossos robôs previnem todo tipo de exposição indevida de dados das marcas, em uma escala 24x7. Com nossa solução para vazamentos de códigos de programação, você consegue visualizar no Axur One (uma plataforma simples e intuitiva) e solicitar a remoção de todas as infrações a sua marca e vazamentos de dados em locais como o GitHub – evitando futuras dores de cabeça.
Jornalista formado pela UFRGS e Content Creator da Axur, responsável pelo Deep Space e por atividades de imprensa. Também já analisei dados e fraudes na equipe de Brand Protection aqui na Axur. Mas, em resumo: meu brilho nos olhos é trabalhar com tecnologia, informação e conhecimento juntos!