Geral Cuidados devem ser reforçados
Megavazamento expõe dados dos brasileiros na rede. E agora?
O assunto é sério e preocupante. Mesmo assim, recebeu pouca atenção dos brasileiros e menos ainda das autoridades competentes. O megavazamento de dados, que veio à tona há poucos dias, colocou informações de 223 milhões de brasileiros, incluindo pessoas falecidas, expostas na internet. Trata-se do maior vazamento que se tem notícia no país até hoje.
Dados como CPF, nome, sexo, data de nascimento, endereços, números de telefone, dados de veículos (placa, número de chassi), informações sobre CNPJs (razão social, nome fantasia e data de fundação), detalhes sobre Imposto de Renda, fotos de rostos, benefícios do INSS, informações de servidores públicos, escolaridade, dados financeiros (score de crédito, cheques sem fundo e renda, entre outros). Tudo foi parar na rede.
A Polícia Federal abriu um inquérito para investigar o vazamento – isto após descobrir que até informações de autoridades, como o presidente Jair Bolsonaro e de ministros do Supremo Tribunal Federal (STF), já circulam na internet.
“Não sabemos exatamente se houve outros grandes vazamentos, porque não se tornaram públicos. Houve (vazamentos) menores e não vieram à tona, porque os dados foram usados para outra finalidade, especificamente para cometer crimes. Desta vez, pelo jeito, querem mais ganhar dinheiro em cima da venda destes dados”, relata o proprietário da Rondotec Tecnologia de Marechal Cândido Rondon, Ralf Dreschler.
Conforme o rondonense, não é possível saber quando começou o vazamento e nem a origem, mas algumas suspeitas foram levantadas. Uma das possibilidades apontadas é de que as informações saíram da Serasa Experian, mas a empresa negou que o seu sistema tenha sido invadido. “Possivelmente este banco de dados foi obtido há mais tempo, mas não tem como precisar enquanto não souber a origem. Uns dizem que foi da Serasa, pois a empresa tem essas informações mais completas, incluindo score, mas pode ter sido de banco, órgão de governo e suspeita-se, também, do acúmulo de vazamentos menores e que os dados foram compilados. Não tem como saber a origem”, diz. “É algo muito grande. Acredito que esses dados já existem há muito tempo e que já vinham sendo coletados. Sabemos muito pouco do que acontece na ‘dark web’, que seria um sistema secundário ou um mercado negro da internet. Muita coisa já acontece e não vem à tona, diferente do que ocorreu agora e foi publicado”, emenda.
Proprietário da Rondotec Tecnologia, Ralf Dreschler: “Os nossos dados estão circulando há muito tempo na internet e nem sabemos. Infelizmente, as pessoas não têm muito o que fazer” (Foto: Arquivo/OP)
GOLPES
O mais preocupante em relação ao megavazamento, segundo Dreschler, é que com os dados em mãos criminosos podem aplicar golpes. Na avaliação dele, abertura de conta de forma presencial ou solicitação de cartão de crédito se tornam um pouco mais difíceis, porque as instituições financeiras possuem mecanismos de segurança e, normalmente, solicitam documentos originais e cópias. No entanto, o empresário lembra que bancos digitais pedem apenas uma foto do documento e algumas informações, o que pode ser um facilitador.
Criminosos podem tentar se cadastrar para acessar benefícios de terceiros disponíveis pelo governo, como o auxílio emergencial. “O principal golpe, que acredito que ocorrerá com maior intensidade, é o que já vem inclusive acontecendo hoje. Alguém liga ou manda mensagem no WhatsApp para oferecer crédito, porque o golpista terá noção se aquela pessoa tem dívida e, então, pode oferecer uma oportunidade. Faz uma proposta para que a pessoa pague uma entrada para liberar o crédito e parcele o restante. Quem está há anos ou meses tentando pagar suas contas vê uma oportunidade mediante o pagamento de uma entrada para liberar o crédito. Isso pode acontecer e acho que será o mais provável utilizando essas informações. Penso que este é o maior perigo agora”, opina.
Compras pela internet também podem ocorrer, embora o empresário reforce que os mecanismos de segurança do e-commerce estão melhores e o número de fraudes vem reduzindo.
SEM PRIVACIDADE
No entendimento de Dreschler, ter privacidade das informações pessoais se tornou algo muito difícil. “Os nossos dados estão circulando há muito tempo na internet e nem sabemos. Infelizmente, as pessoas não têm muito o que fazer. O cuidado é não fornecer os dados para qualquer um”, menciona.
A principal dica é não comprar em sites que não têm muita recomendação ou são desconhecidos. “Você pode estar fornecendo os dados para criminosos”, salienta. “Se você faz compras em sites que teoricamente deveriam ser seguros, empresas grandes, magazines, varejistas, empresas de serviços de streaming, e que são confiáveis, se houver um roubo de dados as pessoas em si não têm o que fazer. Ficamos dependente das empresas se protegerem. Sabemos que assim como há pessoas desenvolvendo sistemas para proteção, há o dobro, triplo ou até mais para tentar burlar estes sistemas. As pessoas precisam ficar mais vigilantes com relação ao seu CPF e uso de cartões. O que pode acontecer é um movimento de maior uso do CPF para outras finalidades, não necessariamente contra você, mas para ter algum tipo de benefício para um terceiro”, conclui.
CIDADÃO DE MÃOS ATADAS
Diante das incertezas sobre a origem do megavazamento de dados e de quando isso aconteceu, a orientação é de que os brasileiros fiquem mais atentos com algumas movimentações que podem ocorrer, como abertura de conta em instituições financeiras, recebimento de cartão de crédito sem ter havido a solicitação e ser negativado indevidamente. A declaração é do advogado rondonense Flávio Ervino Schmidt, especialista na Lei Geral de Proteção de Dados (LGPD). “Outra dica é fazer uma consulta mais breve se está ou não negativado. Isto porque alguém pode pegar seus dados, abrir uma conta, solicitar um crédito e não pagar. Automaticamente, você fica negativado por conta destes dados vazados”, reforça.
Se eventualmente o consumidor constatar que houve alguma violação neste sentido, como movimentação financeira indevida com seu nome, a única alternativa é procurar imediatamente a Delegacia de Polícia Civil para registrar um boletim de ocorrência (BO). “Sabemos que isso não vai impedir que o golpe aconteça e, muito provavelmente, a pessoa só fica sabendo depois que o nome foi utilizado indevidamente. Não há muito o que fazer e não sabemos a dimensão e a repercussão deste vazamento”, destaca.
Advogado Flávio Schmidt, especialista na Lei Geral de Proteção de Dados (LGPD): “Quanto mais formal e mais exigências o empresário der no momento da concessão de crédito, menos o mal-intencionado vai procurar aquele local” (Foto: Arquivo/OP)
LEI GERAL DE PROTEÇÃO DE DADOS
Para este tipo de incidente é que havia a necessidade de uma lei que regulamentasse o manejo de dados, frisa o advogado. “Não esperamos que um Código de Trânsito mais rígido diminua os acidentes, e assim acontece com a proteção de dados. A lei talvez não vai reduzir, mas vai procurar regular essa situação de proteção de dados. Justamente por conta deste tipo de incidente que há necessidade de regulamentação”, afirma.
Segundo Schmidt, a maior parte das pessoas fornece facilmente suas informações pessoais, sendo que posteriormente não sabem onde circulam e quem são os detentores. “Com a edição da Lei Geral de Proteção de Dados eu posso verificar. Por exemplo, como imagino quem tenha ocultado esse vazamento, posso questionar quais dados tem disponíveis a meu respeito. E só com a edição da LGPD que pode haver essa consulta a quem quer que tenha os meus dados. A lei veio para aprimorar”, observa, acrescentando: “A lei diz que quem detém os dados precisa criar mecanismos de segurança, de criptografia dos dados que estão digitalizados. A lei vai tentar remediar daqui para frente”.
A Lei Geral de Proteção de Dados prevê, inclusive, sanções para quem vazar dados. O problema é que nesta situação específica, do megavazamento, não se sabe a origem e muito menos quando isso ocorreu. “Se o vazamento foi anterior a setembro (de 2020), quando a LGPD entrou em vigor, as punições nem poderão ser aplicadas. A divulgação do vazamento foi agora, mas o vazamento em si não sabemos quando ocorreu. A LGPD é justamente para este tipo de situação. Visa regular esse grande local que se chama big data e que todos os dados estão lá, um pouco com a Receita Federal, um pouco com o INSS, Serasa, com os bancos, que transitam essas informações, e a Lei Geral de Proteção de Dados quer proteger essa circulação. Por ora, lamentavelmente, a LGPD não tem muita resposta neste momento”, ressalta.
EMPRESÁRIOS, FIQUEM ATENTOS!
Diante da situação, o advogado deixa uma recomendação àquele que concede o crédito: verifique a documentação. “Solicite no momento da concessão do crédito a documentação original e não somente cópia, veja se está correta, peça um comprovante de endereço. Muitas vezes se torna um documento um pouco difícil de buscar, mas demonstra que a pessoa está declarando aquele endereço. Quanto mais formal e mais exigências o empresário der no momento da concessão de crédito, menos o mal-intencionado vai procurar aquele local. Digo sempre para os meus clientes para que exijam formalidades, pois o mal-intencionado vai desistir de você. Quanto mais criterioso for, é menor a possibilidade do mal-intencionado enganar você”, enaltece.
Schmidt também diz que o empresário deve pedir os documentos originais para manuseá-los. “Tenho atendido ações de indenização por inexistência de dívida. Uma pessoa pediu crédito e chegou a apresentar comprovante de endereço, mas desde o contrato de locação já tinha apresentado um documento falso. Com isso, fez compra no comércio local e o dono do nome era de Santa Catarina. Ele entrou com uma ação contra a empresa daqui. Manuseie o CPF e o RG para verificar a plastificação, a impressão, se é o papel de fato. Peça outro documento, como carteira de motorista e carteira de trabalho. Tenha um pouco mais de cautela na hora de conceder o crédito e fazer o cadastro. Sabemos que todos os dados de todos os brasileiros estão circulando por aí. Então quando chegar alguém para fazer um cadastro tome todas as cautelas necessárias para que não haja uma fraude”, salienta.
E O E-COMMERCE?
O analista de sistemas Sidenei Steinbach Filho, de Marechal Rondon, detalha que lojas on-line possuem uma certificação chamada PCI, que pode ser interpretada como padrão de segurança de dados da indústria de pagamento com cartão. Essa certificação PCI Compliance é obrigatória para negócios dessa natureza e a principal arma contra fraudes e violações de dados nas vendas realizadas no e-commerce. É a principal certificação de segurança digital do mundo.
“As lojas virtuais em geral não armazenam os dados. Elas servem apenas de ponte entre o cliente e o intermediador de pagamento (como PagSeguro ou PayPal, por exemplo). Se essa ponte está criptografada com um certificado SSL, que é o cadeado do lado do endereço do site apresentando-o como seguro (https), então a segurança está feita por parte do e-commerce, pois toda a transação, inserção dos dados do cartão na loja e envio ao intermediador, está criptografada”, afirma.
Porém, argumenta o profissional, se o computador do cliente tem um vírus, que analisa o que ele digita no teclado, ou um malware no navegador, que também captura as informações antes da criptografia, então pode haver a exposição dos dados e o consumidor ser vítima de futuros golpes. “Mas não é mais uma responsabilidade das lojas virtuais nem dos intermediadores, e sim do próprio usuário. Essa é a maneira mais comum para sequestro de dados envolvendo esse processo de inserir os dados do cartão em um formulário de pagamento”, expõe.
Steinbach salienta a importância das lojas investirem em segurança para que nenhum hacker instale um malware e roube os dados. “Isso pode ser realizado com regras de firewall robusto, monitoramento constante da aplicação e manter a plataforma em uso sempre atualizada”, expõe.
Analista de sistemas Sidenei Steinbach Filho: “Essa é a maneira mais comum para sequestro de dados envolvendo esse processo de inserir os dados do cartão em um formulário de pagamento” (Foto: Divulgação)
O Presente
