Data Leakage

O que podemos aprender com o megavazamento de dados?

Por Hugo Moura em
COMPARTILHAR

O maior vazamento de dados já visto no Brasil pode ter consequências perenes e de impacto na população como um todo. Mas, afinal, o que podemos aprender com ele?

Em janeiro deste ano, dados pessoais de 223 milhões de brasileiros foram expostos na internet. O vazamento, considerado o maior da história por especialistas, pode reverberar consequências por anos.

Como nós trabalhamos para tornar a internet um lugar mais seguro, esse assunto não poderia faltar aqui no Blog Deep Space, né!? No artigo de hoje, você vai entender tudo que temos de informação sobre o que está sendo chamado de "megavazamento de dados" e entender que lições podemos tirar dessa tragédia digital.

Para facilitar sua compreensão desse tema que está sendo tão discutido no momento, separamos este artigo em 7 momentos:

1) Quais dados foram expostos no megavazamento?
2) Como aconteceu e qual a origem desses dados?
3) As autoridades já tomaram medidas sobre o caso?
4) E a LGPD?
5) O que pode acontecer daqui para frente?
6) O que aprendemos com isso?
7) Para fechar: proteja-se!

 

1) Quais dados foram expostos no megavazamento?

Antes de mais nada, precisamos entender quais dados foram expostos, certo? 

No megavazamento, foram vazados pacotes de dados pessoais de 223 milhões de brasileiros, 104 milhões de veículos e 40 milhões de empresas.

Na verdade, o que muita gente esquece de comentar é que houve dois vazamentos. O primeiro contém dados de veículos e informações de cada número de CPF, totalizando cerca de 40 GB de dados.

Apesar do volume de informações, que ultrapassa o número de CPFs de cidadãos vivos - considerando que a população do Brasil hoje beira os 212 milhões -,  é menos impactante que o segundo vazamento. 

Vale dizer que estes pacotes de dados estão em livre circulação pela internet. Isso quer dizer que basicamente todo brasileiro tem algum tipo de informação comprometida e que pode ser utilizada por cibercriminosos, mas falemos disso depois.

Já o segundo vazamento, representa muito mais riscos para a população. Este, com distribuição limitada somente para quem comprar, contém dados de escolaridade, benefícios do INSS, Bolsa Família e outros programas sociais, renda e até score de crédito. Há também um terceiro pacote de dados, que contém informações relacionadas ao CNPJ de empresas, relacionadas aos CPFs que já foram vazados.

Os pacotes de dados estão organizados assim:

  • Um arquivo com 14 GB de informação referentes à CPF, sexo, edata de nacimento. É interessante notar que o arquivo só contém pessoas nascidas até 2019;
  • Outro arquivo, muito parecido com o primeiro, constam dados referentes ao CNPJ, no qual podemos encontrar nome das empresas e data de abertura;
  • Um terceiro arquivo, no formato de tabela, tem 23 GB de dados de veículos, que vão somente até o ano de 2007;
  • E o quarto arquivo, o mais importante é uma tabela de 37 colunas com os primeiros 223 milhões de CPFs expostos. A tabela serve de "propaganda", de referência para saber os dados que estão nos outros 37 pacotes, colocados à venda, a partir de US$500.

 

Nestes 37 pacotes que estão sendo comercializados, a exposição de dados é ampla e profunda, já que podemos encontrar os dados básicos de cada um dos 223 milhões de CPFs; como endereços, fotos de rosto, score de crédito, renda, cheques sem fundo; imposto de renda de pessoa física, dados cadastrais em serviços de telefonia; escolaridade, benefícios do INSS, dados de servidores público e até informações do LinkedIn.

Vale lembrar que os dados do Presidente Jair Bolsonaro e de 11 ministros do Supremo Tribunal Federal estão entre os milhões de dados vazados. E, pode-se dizer, que esse foi o grande motivo para ministros e Polícia Federal tomarem medidas investigativas contra o vazamento, alinhadas com a Autoridade Nacional de Proteção de Dados. 

A profundidade e organização dessas informações demonstram dedicação na árdua tarefa de arrumar essa bagunça de dados em tabelas e arquivos que podem facilitar e muito a vida dos cibercriminosos. O trabalho é extremamente analítico e, muitas vezes, manual, já que informações de servidores públicos, por exemplo, podem ser encontradas em Diários Oficiais, mas de uma forma desorganizada.

 

2) Como aconteceu e qual a origem desses dados?

A origem dos vazamentos continua desconhecida, embora o Procon-SP e a Secretaria Nacional do Consumidor já tenham notificado a empresa Serasa Experian. A notificação aconteceu por uma familiaridade de um conjunto de dados com o tipo de score de crédito que realiza o Serasa, além de informações do sistema interno da empresa, o Mosaic.

O Serasa se pronunciou de declarou que estão investigando possíveis causas de um vazamento da sua base de dados, mas não há evidências que comprovem o vazamento por parte do Serasa.  No entanto, uma coisa que temos certeza é de que o vazamento tem dados que estão expostos desde de 2019, o que é alarmante.

Já em fevereiro deste ano, um novo suspeito tomou conta dos principais veículos do segmento informativo. Você sabe o que são data brokers? Nós falamos no CyberSeg News, no AxurCast, sobre eles. 

Data brokers são empresas que coletam, filtram e refinam dados de consumidores virtuais para venda de informações a outras empresas privadas. Os data brokers utilizam a tecnologia de big data para juntar um número massivo de informações de consumidores, que podem chegar a centenas de perabytes, que equivale a mil terabytes.

De acordo com especialistas em cibersegurança, o volume e precisão de dados vazados só poderiam vir de um data broker, visto que o Serasa e as empresas de telefonia não possuem tal profundidade de informações. Apesar disso, as autoridades não conseguiram ligar os arquivos vazados a nenhuma empresa de data broker.

Visando ajudar os internautas a identificar se seus dados já estavam expostos no primeiro leak de 40 mil CPFs, disponibilizado em fóruns conhecidos na dark, deep e até na surface web, Allan Fernando Armelin da Silva Moraes desenvolveu o site "Fui Vazado".

No entanto, o ministro Alexandre de Moraes, do STF, ordenou que o site fosse retirado do ar e desde o dia 8, segunda-feira, o site não funciona. Apesar da boa intenção, o Fui Vazado demonstrava algumas falhas de segurança, como a falta do protocolo https, e esteve na mira de uma investigação da ANPD, Autoridade Nacional de Proteção de Dados. 

 

3) As autoridades já tomaram medidas sobre o caso?

E por falar em ANPD, demorou 8 dias, mas eles abriram um inquérito para realizar uma profunda investigação sobre o caso. A investigação tomou corpo na verdade, quando foi descoberto que Jair Bolsonaro e 11 ministros do STF também estavam expostos. 

Em nota oficial, a ANPD, declarou que: “Desde que tomou conhecimento dos fatos noticiados, a ANPD tomou providências para análises. Já recebeu as informações do Serasa e, na busca de mais esclarecimentos, oficiou outros órgãos para investigar e auxiliar na apuração e adoção de medidas de contenção e mitigação de riscos”.

Desde então, a Polícia Federal foi acionada para investigar o vazamento, com o intuito de também proteger os dados pessoais dos brasileiros.  

 

4) E a LGPD?

A Autoridade Nacional de Proteção de Dados ainda comunicou que vai analisar se houve violações à LGPD, a Lei Geral de Proteção de Dados. A LGPD está em vigor desde 2019, sem aplicar sanções financeiras, no entanto.

O mais triste é que em 2020 e começo de 2021 vimos vazamentos que colocaram a LGPD de escanteio, uma vez que quase não sobraram dados da população brasileira para serem expostos. 

A grande pergunta que fica é: daqui para frente, como a ANPD poderá ligar qualquer empresa a dados que já foram vazados? Como aplicar multas e sanções de vazamentos que possam ocorrer? 

Diante desse fato, podem acontecer duas coisas: ou a ANPD endossa a LGPD junto à legislação brasileira com melhorias na redação da lei, visando torná-la mais rígida e eficiente ou as empresas vão de fato "relaxar" e o movimento de privacidade de dados que começamos a desenhar no Brasil terá sido em vão. 

 

5) O que pode acontecer daqui para frente?

Como já tínhamos dito no Relatório da Atividade Criminosa Online no Brasil (que você pode baixar aqui), o número de casos de phishing para 2021 só tende a crescer e cada vez mais municiados de dados, os cibercriminosos podem inovar. Spear phishing e outros golpes que envolvem engenharia social podem ter sua qualidade e quantidade elevada por conta desse vazamento

O spear phishing com foco em executivos pode ter um grande aumento depois do vazamento de dados, ainda mais se considerarmos que houve outro vazamento de credenciais do LinkedIn, com dados provavelmente agrupados da grande exposição que houve em 2017.

Dada a gravidade do megavazamento, contar com a detecção e remoção de casos phishing envolvendo sua empresa, por exemplo, é imprescindível. Claro que o mundo ideal é que isso seja feito de forma automatizada, evitando que dados de clientes e colaboradores sejam expostos, ocasionando em sanções e até multas pela LGPD.

 

6) E o que podemos aprender com isso?

Diante desse megavazamento que representa uma catástrofe da privacidade de dados no Brasil, precisamos tirar algum aprendizado. Fica claro que o brasileiro precisa mudar seus hábitos em compras e cadastros na internet, isso é importante ressaltar. 

Mas o que fazer e como agir depois de um vazamento que não expôs credenciais, mas sim a identidade pessoal de um país inteiro. Pensando nisso, vamos dividir esse tópico em duas partes: a responsabilidade como cidadão, isto é, pessoa física, e a responsabilidade de empresas com os dados de cidadão. 

Apesar de não podermos afirmar que o megavazamento foi obtido de uma empresa específica, ou um conjunto de empresas, o fato é que alguém vazou esses dados. Das duas uma: ou algum vulnerabilidade deixou esses dados expostos ou alguém foi responsável pelo vazamento intencional das informações.

 

Responsabilidades do cidadão

Como cidadão, você deve proteger seus dados pessoais e zelar por eles. Pensando nisso, pense no quão valiosas e sigilosas são suas informações. Fábio Ramos, nosso CEO, sempre fala que o brasileiro está relaxado com seus dados: "se alguém oferecesse 50 reais para alguém na rua compartilhar seus dados, qual a probabilidade disso acontecer realmente no Brasil?".

Eu quero que você que me acompanhou até aqui faça essa reflexão. Você daria seus dados por 50 reais? Depois do vazamento que tivemos, com certeza, sua resposta foi não. Pensando nisso, tenha isso em mente sempre que um site solicitar seus dados. 

E-commerces e outros serviços precisam dos seus dados para garantir um atendimento mais personalizado e de acordo com suas necessidades. Mas, sempre se pergunte: existe um motivo para solicitarem meus dados? Como será que essa empresa lida com a minha privacidade? Pesquise. 

 

Responsabilidades das empresas

Se você trabalha em uma empresa que armazena e/ou manipula dados de clientes, tenha em mente que sua responsabilidade é gigantesca. 

Existe um conjunto de práticas que podem auxiliar na construção de uma cultura de privacidade na sua empresa, como também implementar claros protocolos e procedimentos de segurança para com os dados de clientes que sua marca tem contato. Separamos alguns tópicos importantes.

 

Cultura organizacional de privacidade e cibersegurança 

Antes de tudo, sua empresa como um todo, desde o CEO até os colaboradores precisam entender a urgência e importância da pauta de privacidade de dados. Será preciso um mindset que permeia a empresa como um todo. Para isso, sua empresa precisará de um DPO, o Data Protection Officer, que já falamos mais nesses três artigos:

O perfil do Data Protection Officer

Qual certificação você precisa para ser um Data Protection Officer?

Data Protection Officer: 7 desafios de todo DPO em 2021

Nesse sentido, treinamento e capacitação serão igualmente necessários para a implementação da cultura de forma eficiente. Será preciso, inclusive, identificar times estratégicos para treinamentos e workshops, times que coletam dados, como Marketing; ou que manipulam e atualizam dados, como Vendas, Customer Experience e Jurídico. RH também está incluso neste processo, dados de colaboradores ou futuros colaboradores são igualmente importantes.

 

Priorização da pauta: privacidade de dados

Em complemento ao tópico anterior, é preciso dizer que nem a cultura nem a proteção de dados dos seus colaboradores e clientes serão levadas a sério na sua empresa se a privacidade de dados não for prioridade. 

Por prioridade, queremos dizer: está no roadmap estratégico e orçamentário da empresa. A maioria das empresas tem um time ou uma pessoas responsável pela segurança digital, mas que nem sempre tem prioridade ou recebe a importância devida. O megazamento evidência o quanto essa pauta é descartada, mas é fundamental que esse cenário mude para aquelas empresa que desejam realmente evitar vazamentos de informações. Isso significa dedicar tempo tanto da diretoria da empresa, que será gasto com planejamento, adequação e estudo da LGPD, quanto de dinheiro para contratação e capacitação de novos colaboradores responsáveis pela pauta.

 

Monitoramento contínuo

Vazamentos podem acontecer, nenhuma empresa está imune a eles. Afinal, isso não depende só do nível de segurança da sua empresa, mas também do interesse, paciência e dedicação do hacker e o quanto seus dados são interessantes para ele, ou ainda, se for um vazamento intencional, se você conhece seus colaboradores e parceiros, bem como se você zela pelas informações compartilhadas com eles ou com os cuidados que eles tem com a segurança e privacidade da informação..

Nesse sentido, o monitoramento da web é imprescindível para descobrir vazamentos rapidamente e reagir eles gerem mais danos para seus consumidores ou tomem proporções midiáticas e a reputação da empresa seja afetada. O pulo do gato aqui é também monitorar a deep e dark web, onde a maioria dos dados vazados são monetizados e expostos antes mesmo que qualquer pessoa da empresa ou mídia saiba.

Para que o benefício desse monitoramento fique mais claro, proponho uma reflexão: se sua empresa sofrer um vazamento, de qualquer tamanho, você prefere descobrir por conta própria ou em algum portal de notícias? O primeiro conceito da metodologia Privacy by Design (seja proativo, e não reativo) resume muito bem esse tópico. Esperar para ver um grande vazamento da sua empresa na mídia pode ser fatal para sua marca, para relação com seus clientes ou com acionistas, é muito melhor estar prevenido e descobrir antes de todo mundo.

Até que o vazamento seja realmente descoberto por terceiros ou pela mídia, empresas que fazem o monitoramento tem tempo para pensar e agir em cima de um plano de ação, que vai desde comunicar seus clientes até os órgãos reguladores e mídia. Isso pode fazer a diferença em aplicações de multas, nível de confiança da empresa e até mesmo a queda ou subida caso sua organização tenha ações na bolsa. Em resumo, um bom monitoramento pode evitar prejuízos financeiros irreversíveis. 

Vamos além: e se você monitorasse seus ativos digitais e identificasse com antecedência indícios de vazamentos? Como tentativas de acesso não reconhecida, spear phishing, vazamento de credencias de colaboradores com acesso privilegiado aos dados da sua empresa, credential stuffings ou possíveis execução de malwares. Não estamos falando mais de monitorar o pós-vazamento, mas sim dos muitos indícios que anunciam um vazamento prestes a acontecer, é dever da sua empresa estar atenta à eles. 

 

Resposta ágil 

Mas, caso aconteça, agir rapidamente é a melhor forma de lidar com um vazamento. De acordo com um estudo realizado pela IBM, em casos de acidentes cibernéticos, em média, as empresas demoram 196 dias para identificá-lo e mais 69 dias para tomar as ações necessárias e identificar os danos que a brecha ou vulnerabilidade pode ter causado. Isso quer dizer que cibercriminosos têm seis meses de livre acesso aos dados da sua empresa, seja lá qual for a falha.  Como explicamos no tópico acima, monitorar sua marca e inventário digital é peça fundamental para agir rapidamente a incidentes e minimizar os danos de marca e com clientes e acionistas.

 

Transparência 

O receio e medo de notificar autoridades e clientes sobre possíveis vazamentos é um sentimento que só atrapalha a velocidade da resposta e investigação aos acidentes. É melhor monitorar, tratar e propor soluções a um vazamento enquanto ele ainda é pequeno, do que esperar milhões de dados serem expostos. Isso é artigo obrigatório da LGPD, inclusive. Isso quer dizer que manter em sigilo um vazamento que sua empresa sofreu pode ser um tiro no pé. Além de não ter o auxílio de entidades governamentais para acelerar a investigação e conter o impacto negativo que o vazamento poderá causar, sua empresa ainda pode ser enquadrada pelo não cumprimento da lei.

Ser transparente e comunicar o vazamento e todas as medidas que estão sendo feitas para reparar os danos pode fazer a diferença em como sua empresa é vista pelos clientes, acionistas, autoridades e imprensa. Afinal uma relação sólida entre empresa e todos os seus stakeholders é, principalmente, baseada em confiança. 

Um exemplo interessante é o que aconteceu com a empresa norte-americana Equifax, na qual seu CEO, Richard Smith, foi até o congresso assumir a responsabilidade pelo enorme vazamento e comunicou com total transparência o que aconteceu. O discurso teve transmissão ao vivo da mídia e reflexos direto nas ações da empresa durante a fala de Smith. Assista ao vídeo.

Análise e melhoria contínua 

Revisar a amostra de dados vazados e o que ocasionou o vazamento é imprescindível para evitar novos vazamentos. Essa é a hora de envolver a empresa toda, desde a coleta até o armazenamento e manipulação dos dados de seus clientes. Analisar constantemente seus ativos digitais dá insumo para as empresas proporem melhorias internas que podem ser de grande valor quando falamos em exposição de dados.

 

Os dados que sua empresa coleta são realmente necessários? 

Pense comigo: menos dados significa menos dor de cabeça caso sua empresa sofra um vazamento. Dito isso, sugiro uma reflexão sobre o quão necessário são os dados que sua empresa coleta dos seus colaboradores, leads e clientes.

Nome, sobrenome e email são suficientes para que o Marketing da sua empresa consiga trabalhar? O telefone de um contato é realmente necessário nessa etapa? Não? Então trabalhe com o necessário, somente. Virou cliente? Precisa de dados financeiros? Sem problemas.

O grande problema é quando sua base de dados está inflada com informações, sensíveis ou não, que muitas vezes são desnecessárias para as empresas. Por exemplo, sua empresa não é um banco ou fintech, mas ainda assim faz a confirmação de identidade com fotos pessoais e dos documentos, como RG e CNH. Você realmente precisa disso? E pior, qual o impacto dessas informações caso elas sejam vazadas? 

Megavazamento vs. Validações de Onboarding ou de Dados

O que fazer quando os dados de toda a população brasileira vaza na hora de validar o onboarding ou os dados de novos clientes? Essa pergunta ficou mais importante com o megavazamento, afinal não deve estar complicado para cibercriminosos ou cidadãos mal intencionados se passar por outras pessoas, certo? Mas vale lembrar que vazamento de informações ocorrem todos os dias e pensar em formas mais eficientes de validação de dados deve ser algo rotineiro para um empresa que realmente preza pela prevenção de fraudes.

Diante disso, qualquer validação de informações que seja feito apenas pelos dados pessoais deve ter atenção redobrada. Daqui pra frente, será realmente necessário pensar e evoluir formas de validar os dados durante um oboarding, como por exemplo a biometria facial. Claro que projetos como esses são complexos e podem demorar, mas empresas que priorizarem a melhoria desses processos com certeza vão estar à frente dos criminosos virtuais.

 

7) Proteja-se

Foram muitos os vazamentos que tivemos nos últimos meses. E, se você parar para prestar atenção, eles não vão parar por aqui. Por isso, tenha em mente que sua empresa pode sofrer um, caso não tenha um protocolo muito claro sobre como proteger seus dados e como reagir rapidamente a um vazamento. 

Quer mais dicas de como proteger sua empresa, colaboradores e clientes? Fique ligado aqui no Deep Space.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Hugo Moura

Jornalista e entusiasta tecnológico. Acho interessante como a tecnologia e sua constante evolução remodelam nossa maneira de viver e interagir com o mundo ao nosso redor. Também sou músico e cozinheiro nas horas vagas.