terça, 13 de novembro de 2018
Economia
Compartilhar:

Segurança digital é desafio em mundo conectado

Márcia Dementshuk, especial para o CORREIO / 17 de setembro de 2018
Foto: Reprodução

A varejista C&A e a empresa de informações de crédito Boa Vista SCPC investigam as consequências de ataques cibernéticos supostamente sofridos na última semana efetuados por um mesmo grupo que se autointitula como ciberativista. Juntas, as duas empresas mantém cerca de 352 milhões de titulares cadastrados. Os fatos demonstram a vulnerabilidade dos sistemas e confirmam a urgência da entrada em vigor da Lei Geral de Proteção de Dados (LGPD - Lei 13.709 de 2018), o que ocorrerá somente em fevereiro de 2020.



A semelhança entre esses dois ataques é a justificativa dada pelo grupo que penetrou nos sistemas: a conduta das empresas quanto ao uso dos dados dos cidadãos.



No tocante à C&A, o ataque foi uma retaliação à denúncias que se multiplicaram na Internet feita por candidatos à emprego na loja. Pelas narrações feitas nas redes sociais, eles preencheram um cadastro com seus dados na disputa por uma vaga e, poucos dias depois, passaram a receber mensagens referentes ao cartão de crédito que teriam solicitado.



O fato foi divulgado pela imprensa especializada em tecnologia e, como que num ato de “vingança” ou alerta, os ditos ativistas invadiram o sistema de vale-presente/trocas, publicaram os dados no Pastebin (app para uplooad de trechos de código) deixando um aviso: “já que vocês gostam de brincar com os dados dos outros, decidimos brincar um pouco com os seus sistemas”. Segundo a Folha de São Paulo, dados de 2 milhões de pessoas com cadastro na loja estariam ameaçados de exposição.



Suposta invasão em banco de dados com 350 mi de titulares é investigada pelo MP-DF



A empresa Boa Vista SCPC atua no mesmo ramo do Serasa e SPC, como empresa de serviços de restrição a crédito. Segundo o Ministério Público do Distrito Federal e Territórios (MPDFT), possui mais de 350 milhões de titulares cadastrados em seu banco de dados. Como gestora de cadastro positivo, a Boa Vista SCPC é responsável pelos danos materiais e morais sofridos pelos cadastrados, conforme a Lei do Cadastro Positivo (Lei n. 12.414, de 09/6/2011).



No arquivo web onde os dados do suposto ataque foram publicados, o grupo indagou por que a Boa Vista SCPC pode ter dados pessoais de cidadãos brasileiros, “mesmo que eles não possuam dívidas?” É que, de acordo com a lei, caso a pessoa resolva seus problemas de crédito, deve ter o cadastro excluído.



A Comissão de Proteção de Dados Pessoais do MPDFT abriu inquérito para acompanhar as consequências da exposição indevida dos dados nos dois casos. No processo da Boa Vista, o MPDFT irá “investigar as circunstâncias do suposto comprometimento dos dados pessoais dos titulares dos dados pessoais cadastrados na Boa Vista SCPC, bem como apurar as responsabilidades pelos danos causados.”





Em resposta à reportagem, a Boa Vista SCPC não reconheceu o ataque e “informa que regularmente audita, protege e analisa eventuais comunicações relacionadas à sua atividade. No momento, a empresa está diligenciando para apurar a origem e extensão do possível incidente. Com relação à denúncia sobre determinado servidor, informa que também, como de praxe, está analisando tais fatos e, se for o caso, adotará todas as medidas técnicas e legais pertinentes.” Contudo, três especialistas, à pedido da Folha de S. Paulo reconheceram a invasão.



A C&A confirmou o ataque, recebeu o ofício do MPDFT e, em resposta à esta matéria, pronuncia: “A empresa sofreu um ciberataque no seu sistema de vale-presente/trocas na última semana e, tão logo identificou o ocorrido, acionou seu plano de contingência e notificou as autoridades competentes.”



Quanto à suposta conduta dos funcionários, informa: “Instauramos uma auditoria nas lojas e já adotamos medidas necessárias com os envolvido. Além disso, estamos reforçando uma série de treinamentos com as lideranças para evitar qualquer iniciativa em desacordo com o Código de Ética, que todo funcionário recebe e assina ao ingressar na empresa.” E ainda, A C&A entende que a proteção de dados é importante e está atuando ativamente para se adequar à nova legislação brasileira sobre o tema, que entrará em vigor em 2020. Reiteramos nosso sólido compromisso com uma atuação ética.”



Se a LGPD estivesse em vigor, a C&A deveria notificar todos os usuários comprometidos pelo incidente. Caso fosse comprovado o vazamento por negligência (problemas de sistemas desatualizados ou senhas fracas), a legislação prevê advertências e multas de atéou 2% do faturamento anual, a depender da gravidade do incidente.



Hacker, cracker, crime



Ter habilidade em linguagens de computação é diferente de conseguir invadir sistemas. Em uma conversa com Cristine Hoepers, gerente geral do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), ela comentou que hoje em dia, uma pessoa que pretenda burlar a segurança de um sistema não precisa mais nem ser um nerd. “Na própria Internet há códigos acessíveis de robôs digitais que podem passar dias, sem parar, fazendo varreduras em sistemas procurando por brechas. Caso encontram uma, emitem o alerta”, explica Cristine.



O procedimento foi o tipo de incidente mais reportado ao CERT.br em 2017, mais da metade dos casos (53,16%). “Esse ataque recebe o nome de “scan”; é quando algum usuário malicioso está dando "probes" (sondando) em portas abertas em servidores e, ao encontrar alguma facilidade, invade”, explica Humberto Júnior, coordenador do novo eixo temático de Segurança da Expotec, Congresso e Feira de Tecnologia.





Ao todo, no ano passado, foram 833.775 incidentes notificados pelo CERT.br: “Podem ser dafecement (modificação da página do site), invasão em aplicações, banco de dados, vírus, fraude, DDoS (ataques simultâneos a um sit sobrecarregando o servidor até que o serviço fique inacessável), entre outros. O DDoS é o segundo maior ataque sofrido por serviços de internet, em 26,41% dos casos. “Esses são apenas os incidentes reportados. Digamos que o número real seja bem maior; como acontece em uma delegacia: o número de boletins de ocorrência efetivados é menor do que ocorre de fato no cotidiano”, considera Humberto Júnior.



“O invasor é o cracker, aquele que invade, pixa a página da empresa com mensagens inadequadas, sequestram informações e até pedem resgate pelos dados”, esclarece Anahuac Gil, coordenador executivo da Expotec “Isso é crime digital. O mesmo se dá com aqueles que detém informações suas produzidas na Internet e as utilizam delas sem que você nem saiba como. Repassam essas informações sabe-se lá para quem e para quê. São criminosos. ”, complementa.



A confusão de nomenclatura, segundo Anahuac, vem da desinformação. O hacker, na verdade, descobre a vulnerabilidade do site e emite um alerta. Steven Levy, jornalista e escritor estadunidense, contou a história de legítimos hackers, cientistas da computação das décadas de 1960 e 1970, que revolucionaram a história da computação. Pessoas que formularam um código de conduta, uma ética que se popularizou e defende, prioritariamente, o acesso de qualquer pessoa a computadores, numa época em que as máquinas eram caras e complicadas de operar.

Relacionadas