Megavazamentos – No ano passado, os CPFs de 223 milhões de pessoas vivas e falecidas vazaram, causando grande preocupação sobre o uso deles para golpes e crimes. Agora, veio à tona mais um megavazamento – dessa vez dos registros de mais de 100 milhões de contas de celulares, e entre elas estaria a do presidente Jair Bolsonaro.
Os dois casos foram descobertos pela empresa de segurança cibernética PSafe ao monitorar negociações de venda de dados sigilosos na deep web – a parte da internet que não pode ser encontrada por buscadores como o Google.
O vazamento, noticiado primeiro pelo site NeoFeed, envolveu 102.828.814 contas de celular com informações sensíveis como tempo de duração de ligações, número do telefone e outros dados pessoais, como RG e endereço.
Segundo informou a PSafe ao NeoFeed, cada registro estava sendo vendido a US$ 1, com possibilidade de valores unitários menores no caso da aquisição de milhões de registros por um mesmo comprador.
Esse megavazamento, que teria atingido inclusive agentes públicos, indica o quão vulnerável é a privacidade dos brasileiros em geral.
Mas como é que informações sigilosas podem ser obtidas, em massa, por hackers e criminosos e comercializadas na internet?
Quem têm interesse em comprar essas informações? E o que fazer para reduzir o risco de ter informações vazadas?
Como ocorrem vazamentos de dados sigilosos
O especialista em segurança cibernética Marcos Simplicio, professor da Escola Politécnica da Universidade de São Paulo, explica que megavazamentos de dados ocorrem, normalmente, de três formas:
- Invasão por um hacker do banco de dados de uma empresa
- Invasão do site usado pela empresa para o consumidor acessar dados pessoais
- Vazamento interno por funcionário que tem acesso a informações de clientes
O primeiro caso, segundo Simplicio, exige conhecimento sofisticado do hacker, a ponto de ele ser capaz de burlar sistemas de segurança de grandes empresas. Isso costuma ocorrer quando a empresa utiliza plataformas ou softwares com vulnerabilidades, ou seja, com poucos mecanismos para bloquear acesso externo suspeito.
“Uma possibilidade, que não é a mais comum, é que alguns dos sistemas que a empresa utiliza tenha uma vulnerabilidade descoberta. Por exemplo, se o site da empresa usa alguma ferramenta de construção da plataforma, para facilitar essa construção, e descobre-se que essa ferramenta tem vulnerabilidade”, explica.
“O hacker explora essa vulnerabilidade e invade. Esse é o jeito clássico que vem ao nosso imaginário – o hacker habilidoso que descobre coisas novas, mas não é o mais frequente.”
No caso do megavazamentos dos registros de celulares, o vendedor dos dados afirmou ao PSafe que eles seriam da base de dados das operadoras Vivo e Claro, segundo o site NeoFeed.
Em notas enviadas à BBC News Brasil, a Vivo e a Claro negam que tenha ocorrido vazamento de dados de seus clientes:
“A Vivo reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade.”
“A Claro informa que não identificou o megavazamento de dados. E, segundo informou a reportagem, a empresa que localizou a base não encontrou evidências que comprovem a alegação dos criminosos. Além disso, como prática de governança, uma investigação também será feita pela operadora. A Claro investe fortemente em políticas e procedimentos de segurança e mantém monitoramento constante, adotando medidas, de acordo com melhores práticas, para identificar fraudes e proteger seus clientes”.
O especialista em segurança cibernética Luiz Faro, diretor de engenharia para América Latina da Forcepoint, explica por que é tão difícil identificar de onde saíram as informações.
“É preciso tomar cuidado ao estabelecer a origem dos dados de maneira direta, porque os dados pulam. O dado que está numa operadora vai para outro fornecedor, que vai para outro, que é armazenado por um terceiro. Uma das grandes dificuldades é manter a rastreabilidade de dados preciosos”, disse à BBC News Brasil.
Site de acesso do usuário com falhas de segurança
A segunda hipótese para um vazamento de grandes proporções é a invasão, por hackers, da plataforma online usada pela empresa para que usuários acessem seus dados pessoais.
“Você pode ter uma vulnerabilidade no site de acesso ao usuário, na forma como ele foi construído. Por exemplo, ele não estar autenticando direito as pessoas. Então, existe um mecanismo de consulta, que deveria ser usado somente por usuários legítimos, mas que, por algum motivo, não está bem protegido”, exemplifica Marcos Simplicio, professor da USP.
“Com isso, eu consigo entrar no sistema, trocar o CPF disponível na consulta, e ele me entrega os dados. Ele não deveria, mas me entrega os dados.”
Vazamento interno
Segundo Marcos Simplício, a terceira possibilidade envolve participação direta de pessoas com acesso a dados confidenciais.
Numa empresa de telefonia ou internet, por exemplo, operadores que atendem a demandas simples dos usuários conseguem acessar o banco de dados desses, para conseguir iniciar a resolução de problemas relacionados ao serviço.
“A maneira mais comum de vazar dados, embora menos reportada, é alguém que tem privilégio de acesso internamente abusar desse direito e vender as informações na deep web ou para um terceiro que vai vender depois”, diz o professor.
Para evitar que isso ocorra, empresas costumam recorrer a ferramentas de segurança que acendam um alerta quando uma funcionário acessa, por exemplo, número muito grande de dados de usuários num curto espaço de tempo.
“Existem ferramentas para monitorar usuários por acessos estranhos”, diz o especialista.
“Por exemplo, se eu ligo para uma empresa de telefonia, o operador tem que conseguir acessar meu cadastro. Um desses operadores poderia fazer o download de uma grande quantidade de dados num curto espaço de tempo, o que seria um comportamento estranho. Mas se a empresa não monitora, ele consegue fazer.”
Luiz Faro, da Forcepoint, destaca que, se a empresa tiver um sistema de segurança forte, criminosos interessados em obter informações dos consumidores vão focar em aliciar funcionários com acesso privilegiado, em vez de tentar ataques diretos ao site ou banco de dados.
“O que faz o ladrão é a oportunidade. Numa empresa que tem a rede mais protegida, as pessoas são mais atacadas (assediadas para venda de informação). A empresa que tem a rede menos protegida, tem a rede mais atacada.”
E quem compra essas informações?
Informações pessoais de consumidores são dados valiosos tanto para operações empresariais lícitas quanto atividades ilegais.
Registros como gastos com celular e bairro onde a pessoa mora ajudam a construir o perfil do consumidor, e uma empresa pode usar esses dados para oferecer produtos de maneira personalizada.
Outra utilidade menos nobre é para envio maciço de spam com propagandas, notícias falsas ou mensagens de cunho político.
Números de celulares podem ainda ser usados para telemarketing. Há ainda a possibilidade de dados pessoais serem utilizados por criminosos para fraudes e extorsões.
Pessoas fingindo serem de empresas com as quais o consumidor mantém contato podem citar dados pessoais para ganhar a confiança e obter informações de cartões de crédito ou mesmo convencer o interlocutor a fazer transferências bancárias.
Luiz Faro ainda cita outras utilizações ilegais possíveis para esse tipo de dados. “Dados pessoais podem ser usados para cadastro de pré-pago no nome de alguém ou para uma conta de banco nula criada especificamente para movimentação bancária ilegal.”
