Início Imprensa Notícias Megavazamentos de dados deste ano expõem falhas

Megavazamentos de dados deste ano expõem falhas

Por

17 de fevereiro de 2021

“Cada colaborador remoto se transforma em um ponto a mais de vulnerabilidade.”

Valor Econômico – 17 de Fevereiro de 2021

O Valor Econômico destaca que o ano mal começou e os megavazamentos de dados colocam em xeque não só a credibilidade de instituições privadas e públicas no país, mas o quanto priorizam investimentos em segurança da informação. A pandemia acelerou a digitalização das empresas, mas na visão de especialistas em cibersegurança, medidas de proteção não foram tomadas no mesmo ritmo. A adoção do “home office” a toque de caixa por grande parte das companhias abriu uma brecha adicional.

“Estamos vivendo uma pandemia digital”, diz Marco DeMello, CEO da PSafe, empresa que detectou dois megavazamentos recentes. “Cada colaborador remoto se transforma em um ponto a mais de vulnerabilidade.” Só este ano, vazaram dados de mais de 223 milhões de pessoas, 40 milhões de CPNJs, 107 milhões de veículos e, mais recentemente, de 102,8 milhões de celulares. Tamanha quantidade de informações ajuda os criminosos a criarem táticas novas e mais convincentes de abordar suas vítimas.

“Antes a abordagem era genérica, mas hoje vem com nome completo e CPF”, diz Alexandre Bonatti, diretor de engenharia da Fortinet, voltada para cibersegurança. “A probabilidade de uma pessoa cair num golpe desses, mesmo informada, é muito maior.” A estimativa de investimentos de instituições públicas e privadas em segurança no país é de US$ 900 milhões este ano, um avanço de 12,5% em relação a 2020, segundo a consultoria IDC.

O comércio eletrônico, por sua vez, cresceu mais de 40%, no ano passado, com a pandemia. Na avaliação de especialistas, a decisão do quanto investir em cibersegurança ainda é tomada na na ponta do lápis. “Se o prejuízo com um vazamento for de R$ 1 milhão e o investimento em segurança for de R$ 1,5 milhão, muitos preferem correr o risco”, diz Marcos Sêmola, sócio de cibersegurança da consultoria EY no Brasil.

“Outro ponto que conta é se a empresa afastará clientes criando uma camada de segurança a mais em seu site ou aplicativo, por exemplo.” DeMello ressalta que segurança da informação não é mais assunto da área de tecnologia. “A discussão tem que estar com o CEO e fazer parte da pauta do conselho das empresas.”

A PSafe identificou o primeiro megavazamento em meados de janeiro ao notar a venda de mais de 40 milhões de CPNJs em uma rede oculta, ambiente conhecido como deep ou dark web, invisível aos sistemas de buscas tradicionais. Em contato com o hacker, e se fazendo passar por um comprador, a PSafe teve acesso à oferta de pacotes de dados de US$ 100 cada, com informações como nome, CPF, título eleitoral, foto de rosto, renda mensal, participação no Bolsa Família, score de crédito, incluindo dados de pessoas falecidas.

Já os dados de mais de 102 milhões de números de celulares, nomes e tempos de chamadas, que segundo o invasor pertenciam às operadoras Vivo e Claro, eram vendidos por 0.026 Bitcoin cada – o equivalente R$ 6,2 mil por pacote de 55 milhões de números de uma operadora e de 47 milhões de outra.

Procuradas pelo Valor, as operadoras Telefônica e Claro afirmaram que não identificaram incidentes de vazamento em suas bases de dados. O Ministério da Justiça pediu informações às operadoras de celular sobre o assunto.

Luis Corrons, pesquisador sênior da Avast, na Espanha, diz que o valor dos dados depende do volume, da profundidade e de quem são as informações. “Dados de políticos, por exemplo, costumam valer mais”, afirma. No primeiro megavazamento, além de nomear a pasta como “Serasa Experian”, o criminoso disse à PSafe que os dados vieram da base da empresa, mostrando conjuntos de dados similares e o uso do formato Moisaic, também adotado pela Serasa.

A afirmação levou a Secretaria Nacional do Consumidor (Senacon), o Procon de São Paulo e a Autoridade Nacional de Proteção de Dados (ANPD), órgão criado no fim de setembro para regulamentar a Lei Geral de Proteção de Dados (LGPD), a pedirem esclarecimentos à empresa.

A Serasa afirma que as alegações são infundadas. “Com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos.”

A ANPD, que investiga os dois megavazamentos, oficiou a Policia Federal, o Gabinete de Segurança Institucional da Presidência da República, o Comitê Gestor da Internet no Brasil e a PSafe para colaborarem com as investigações. A autoridade informou que a Serasa já enviou as informações solicitadas.

Criada em outubro como parte da estrutura do Departamento Estadual de Investigações Criminais (Deic) da Polícia Civil do Estado de São Paulo, a Divisão de Crimes Cibernéticos (DCCIBER) também iniciou um inquérito para apurar o megavazamento de dados revelado em janeiro. Segundo o delegado Carlos Ruiz, responsável pela 3ª Delegacia de Polícia sobre Violação de Dispositivos Eletrônicos e Redes de Dados da DCCIBER, além dos vazamentos, estão em investigação mais de 700 casos de crime organizado operando em meios digitais. Os casos de ransomware, o sequestro de dados, contra empresas têm sido frequentes. “Recebemos de três a quatro ocorrências mensais”, afirma Ruiz.

A identificação dos criminosos, no entanto, costuma ser complicada, porque envolve pedidos de resgate em criptomoedas e invasões que partem do exterior. “São casos que se originam frequentemente na Rússia e no Leste Europeu”, informa.

A polícia também esbarra na falta de informações das próprias empresas. “Às vezes, a equipe de TI não quer revelar que os criminosos acham uma brecha sistêmica porque a área não estava bem estruturada”, afirma o delegado. A perícia digital terceirizada costuma ser uma recomendação nesses casos.

Considerando que, a partir de agosto, a ANPD passa a aplicar as sanções da Lei Geral de Proteção de Dados, incluindo multas de até R$ 50 milhões, a pressão por medidas mais efetivas de segurança aumenta sobre instituições e empresas. A resposta às pressões, na visão dos especialistas, está não só em aumentar a verba de cibersegurança, mas ter uma gestão de riscos continuada. “Risco é um vetor onipresente”, diz o sócio da EY. DMello, da PSafe, alerta que as empresas precisam usar recursos tão avançados quanto os dos criminosos, que alugam serviços de inteligência artificial na nuvem para promover ataques.

“Usar antivírus é como pegar um guia de ruas em papel para se orientar hoje em dia”, compara. A PSafe anunciou, na sexta-feira, uma fusão com a startup brasileira de inteligência artificial CyberLabs. Considerando que grande parte dos ataques bem-sucedidos usam engenharia social, Corrons, da Avast, recomenda o treinamento constante de funcionários. “Há alguns anos, uma empresa do Japão enviou um ‘phishing’ aos funcionários para alertar sobre o problema”, conta. “Após um treinamento, de 100 pessoas que haviam caído no falso golpe, só três persistiram.”

A certificação digital é outra alternativa na avaliação de Ghassan Dreibi, diretor de cibersegurança da Cisco. “Se não podemos mudar nossos CPFs precisamos repensar a autenticação das pessoas”, afirma. Resta saber se o governo ou associações setoriais ajudarão a bancar a conta. A assinatura de um certificado custa, em média, R$ 140 por ano.