Você já ouviu falar do Equador, né? Aquele país que dá nome à linha que divide o mundo em dois hemisférios (e que por isso tem o território metade ao norte e metade ao sul do planeta). Ou aquela que é uma das duas nações sul-americanas que não fazem fronteira com o Brasil (a outra é o Chile). Ou ainda o país ao qual pertencem as Ilhas Galápagos, que serviram de base para os estudos de Charles Darwin antes da publicação de “A Origem das Espécies”. Ou mesmo o local onde, pasmem, são fabricados os chapéus do Panamá.
Bem, passado este agradável momento cultural, você talvez não saiba que este país cujo tamanho se aproxima ao do Estado do Rio Grande do Sul foi manchete no mundo todo recentemente. E o motivo não foi nenhum dos fatos mencionados no primeiro parágrafo deste texto, ou mesmo alguma conquista esportiva, algum desastre natural ou troca de governo. O Equador veio parar no Blog da Konduto por causa de um caso de vazamento de dados.
Estamos sendo bonzinhos em chamar isso apenas de “caso”. Conforme revelado pelo site “ZDNET” em parceria com a empresa israelense de segurança cibernética “vpnMentor”, dados de 20 milhões de pessoas ficaram expostos em uma nuvem gerenciada pela empresa equatoriana Novaestrat nos Estados Unidos. O número supera até a população do país, que, segundo o último censo, soma aproximadamente 17 milhões (a provável causa para isso ter acontecido é que o banco tinha alguns dados duplicados e também os dados de algumas pessoas que já faleceram).
Fato é que os pesquisadores da “ZDNET” e do “vpnMentor “encontraram por lá nomes completos, números das “cedulas” (o equivalente ao RG no Brasil), datas e locais de nascimento, endereços, estado civil, telefones, formação, profissão e parentescos de milhões de pessoas, sendo 6,7 milhões de crianças. Não escaparam nem mesmo o presidente equatoriano, Lenín Moreno, e, veja que ironia do destino, Julian Assange, o fundador do WikiLeaks que viveu em asilo diplomático na embaixada do Equador em Londres até abril deste ano.
Ah e não para por aí: em outro banco exposto pela falha no servidor do tipo Elasticsearch da Novaestrat, dados como os extratos bancários e até placas e modelos de automóveis de cidadãos equatorianos apareciam lá, para quem quisesse ver.
O “vpnMentor” comunicou as autoridades do Equador sobre a falha, e o acesso ao servidor foi imediatamente restringido. O governo do país sul-americano classificou o caso como “muito delicado” e ainda investiga a fonte do vazamento. Até o momento, o presidente da Novaestrat foi preso e diretores da empresa já prestaram depoimento.
Epidemia de vazamentos
Vazamento de dados em grande escala definitivamente não é uma exclusividade do Equador. Afinal, vivemos num planeta no qual 4,1 bilhões de dados foram violados apenas no primeiro semestre deste ano, segundo um estudo conduzido pelo Risk Based Security.
Acompanhe a gente a seguir por uma pequena volta ao mundo só para destacar alguns vazamentos recentes de dados em alguns países. Ah, vamos pular casos como os do Google, Facebook, Yahoo, Uber e redes hoteleiras ou companhias aéreas que tiveram impacto sobre usuários de variadas nações.
Chile ??
Para não sair da América do Sul, o mesmo site ZDNET revelou em agosto passado que nomes, endereços, sexo, idade e número de dois documentos de identificação de mais de 14 milhões de chilenos (cerca de 80% da população do país) ficaram expostos na internet. A exemplo do Equador, suspeita-se que o vazamento decorreu de falha no servidor de um buscador do tipo Elasticsearch.
México ??
Dados pessoais e fiscais de funcionários de 41 empresas clientes da consultoria e auditoria KPMG foram vazados. A própria KPMG assumiu no mês de abril que a falha ocorreu após um pequeno grupo do seu estafe hospedar sem autorização as informações em um servidor sem controle de segurança ou senhas de acesso. Dentre os clientes da KPMG estão farmácias, seguradoras, siderúrgicas, companhias aéreas e até clubes de futebol.
EUA ??
Palco de alguns dos maiores vazamentos de dados dos últimos tempos, os Estados Unidos teve como um dos seus alvos o banco Capital One. A instituição teria sido atacada por uma hacker de 33 anos que conseguiu acesso aos dados de mais de 100 milhões de clientes.
China ??
A ameaça de vazamento de dados também ronda a China, embora a grande parte dos casos seja divulgada por pesquisadores independentes. Só neste ano, 590 milhões de currículos estariam expostos por brechas num bancos de informações, mesmo caso de 4,6 milhões de dispositivos de pessoas que utilizam aplicativos de empréstimo. Já uma vulnerabilidade do sistema da SenseNets, empresa que opera reconhecimento facial, teria vazado os dados de mais de 2,5 milhões de habitantes do país mais populoso do mundo.
Índia ??
Por falar em país populoso, a Índia concentra a maior parte dos registros de sua população de 1,23 bilhão de habitantes em um banco de dados chamado Aadhaar. Até aí, tudo bem, desde que este sistema não estivesse vulnerável a vazamentos. No ano passado, a imprensa local denunciou que criminosos tiveram acesso ao banco e estariam inclusive comercializando dados. O governo negou. Neste ano, os sites TechCrunch e ZDNet também apontaram novas falhas – novamente desmentidas pelo governo.
Rússia ??
O senso comum costuma sempre relacionar ataques cibernéticos e vazamentos de dados a hackers russos. No caso do Yahoo, por exemplo, realmente quatro cidadãos do país foram acusados pelo crime. Mas avançando para o ano de 2019, o principal ataque deste tipo dentro do maior país do mundo visou informações do governo, e não dos habitantes: no caso, 7,5 terabytes de dados de um braço do serviço secreto que continham projetos e outras informações sigilosas.
Bulgária ??
No último mês de julho, dados pessoais e financeiros de 5 milhões de búlgaros adultos (ou o equivalente a 70% da população do país europeu) foram vazados após um ataque à Agência Nacional de Receitas do país europeu. Um jovem de 20 anos foi preso suspeito de participação no crime, e os órgãos de proteção de dados aplicaram uma multa de US$ 3 milhões (quase R$ 12,5 mi) à Receita por não ter evitado o golpe.
E o Brasil? ??
Como você deveria saber, é claro que um dos países que aparecem no topo das listas de crimes cibernéticos não está imune ao vazamento de dados. Em 2017, por exemplo, publicamos um artigo sobre a quadrilha que vendia uma série de informações sigilosas de mais de 71 milhões de brasileiros – ou quase um terço da nossa população. Clique aqui e relembre!
A exemplo de outras partes do mundo, muitos dos vazamentos por aqui acontecem por falhas ou violações da segurança de empresas dos mais variados setores. Mas tem chamado atenção o expressivo aumento do número de ataques que visam as informações que o governo federal possui, como mostra esta recente reportagem do site UOL.
O quão grave é um vazamento de dados?
Bastante, sem dúvida nenhuma. Ainda mais se for em grande escala, como nos casos que citamos acima. Afinal, os dados de terceiros fomentam crimes como lavagem e desvio de dinheiro, invasão de contas, técnicas de evasão, falsidade ideológica, dentre outros.
No caso específico do Equador que serviu de base para este texto, a quantidade de dados é tão grande que pode deixar os cidadãos de todas as idades expostos não só a golpes de identidade, mas também a ameaças físicas. Para ficar só em um exemplo: um criminoso com acesso à lista saberia o endereço de uma pessoa rica e poderia ir até o local tentar roubar um determinado bem ou até sequestrar o filho do dono da casa.
Pesado, né? Mas você sabe que o blog da Konduto não fala só de tragédia.
Bem, uma boa notícia é que países ao redor do mundo estão acelerando o combate aos vazamentos ao criarem regras específicas de proteção dos dados. Vide a União Europeia, que desde o ano passado tem a Regulação Geral de Proteção de Dados (GDPR, na sigla em inglês), e o próprio Brasil (a nossa Lei Geral de Proteção de Dados, ou LGPD, entra em vigor em 2020). O Equador, aliás, acelerou o envio de uma projeto nestes moldes ao legislativo após o escândalo deste mês de setembro (clique aqui para ler em espanhol)
E a outra boa notícia vai para você que trabalha com comércio eletrônico. Estes enormes vazamentos de dados pessoais seriam muito preocupantes apenas se sua análise de risco se limitasse a algo como “bateu o nome completo, data de nascimento, nome da mãe e o endereço? Então o pedido tá aprovado”!
Não queremos dizer que a revisão dos dados cadastrais é perda de tempo. Pelo contrário. Mas ela deve ser apenas parte de uma análise de risco eficaz, que, em tempos de vazamento de dados, também deve contar com outras métricas consideradas básicas, como fingerprint e geolocalização, além das mais avançadas, como machine learning e monitoramento do comportamento de navegação.
O sistema da Konduto combina tudo isso, viu? ?