Seria o “maior vazamento de dados do Brasil” uma “fraude”? Comentário de especialistas

 

Nem tivemos tempo para respirar e absorver todos os infortúnios ocorridos em 2020 – o Brasil inteiro entrou em delírio no dia 19 de janeiro deste ano, depois que diversos veículos de comunicação começaram a noticiar. qual seria o maior vazamento de dados da história do país. Um criminoso estaria comercializando, por meio de um fórum da web de superfície, dados pessoais de mais de 223 milhões de cidadãos – incluindo aqueles que já faleceram – e até mesmo liberaria algumas amostras grátis do banco de dados.

A Agência Nacional de Proteção de Dados (ANPD) solicitou investigações sobre o ocorrido, principalmente dirigidas à Serasa, uma vez que alguns elementos do banco de dados oferecido mencionavam o bureau de crédito – embora a empresa, desde o início, negasse veementemente ter qualquer relação com a exposição. As ações da Polícia Federal culminaram na prisão de dois suspeitos: o mineiro Marcos Roberto Correia da Silva (“Vandathegod”) e o pernambucano Yuri Batista Novaes (“JustBR”).

Desde então, o “megavazamento” – como ficou conhecido – virou notícia para jornais nacionais e internacionais, além de eternas discussões sobre privacidade de dados, Lei Geral de Proteção de Dados (LGPD), eficiência da ANPD e orientações ao público final sobre como proteger contra possíveis fraudes ou declarações falsas. No entanto, o que muitos não estão prestando é que, no final das contas, é possível que tal “megavasamento” nunca tenha existido.

Dados de microondas

Primeiras coisas primeiro. Conforme explicou The Hack em seu boletim divulgado em 22 de fevereiro, a PSafe – empresa brasileira que identificou a venda dos dados e alertou a mídia – passou a sofrer uma série de críticas do mercado por ter feito uma divulgação inadequada se levarmos em consideração padrões da indústria de conta. A empresa não investigou o vazamento em profundidade, limitando-se a preparar um press release que causou mais pavor e dúvidas do que soluções por si mesma.

Na época, um executivo de segurança da informação de nível C (que preferiu permanecer anônimo) disse exclusivamente: proteção e privacidade de dados. É uma pena que as empresas sigam esses caminhos para divulgar sua marca no mercado ”. O artigo pode ser lido na íntegra neste link.

O que acontece é o seguinte: não é ético concluir, sem a devida investigação, que um banco de dados oferecido por um criminoso anônimo seja de fato um vazamento sem precedentes. Uma vez que esses vilões virtuais lucram com a venda dessas bases de dados, é perfeitamente natural que eles compilem várias exposições diferentes para criar uma coleção maior e oferecê-la no “mercado” para atrair a atenção do público. Nesse processo, bastaria inserir um ou dois PDFs de uma empresa privada para culpá-la pelo incidente.

Em pesquisa realizada por um grupo proprietário que reúne dezenas de CISOs (Chief Information Security Officers), The Hack constatou que, para 57% dos profissionais da área, a maior parte do “mega vazamento” deve ser composta por material antigo enriquecido com poucos dados não publicados. Já 40% acreditam que o banco de dados não tem nada de novo, sendo uma compilação de vazamentos conhecidos; apenas 3% dos entrevistados acreditam que, de fato, a exposição é nova.

É um vazamento… Mas é novo?

Em entrevista ao The Hack, Alexandre Sieira, CEO da Tenchi Security, afirmou que o simples fato de haver referências à Serasa no banco de dados não é prova suficiente de que a empresa foi invadida. “Alguém pode ter adquirido legitimamente essas informações da Serasa anos atrás, pode ter um parceiro Serasa que tem acesso a essas informações ou até mesmo um cliente da empresa com acesso aos dados”, explica o executivo, em rápida conversa por telefone.

“Existem muitos cenários possíveis e nenhuma das evidências apresentadas nos artigos de notícias ou publicações do PSafe permite que você saiba se algum deles aconteceu. Novamente, pode ser uma combinação, uma junção de três ou quatro vazamentos, cada um de um tipo diferente ”, diz Sieira. “Vimos manchetes dizendo ‘novo vazamento’. Não temos evidências para saber se houve vazamento e se é novo. Só podem ser refeitos de bases anteriores ”, conclui.

Sieira comenta ainda que as empresas que se associaram ao “vazamento” sem nenhum embasamento técnico foram abordadas por diversas autoridades, gerando toda uma situação que gerou constrangimento e impactos sem saber se realmente estão envolvidas na situação. Além disso, o especialista expressa preocupação com o fato de o mercado negro de dados pessoais já existir há anos – inclusive na superfície da web, como o próprio fórum em que a base de dados foi disponibilizada e em grupos do Facebook.

“Existe uma investigação consistente sobre isso para reprimir os criminosos? As autoridades policiais têm ferramentas para perseguir essas pessoas? Não deveríamos nos concentrar em um determinado conjunto de dados que está sendo vendido, mas sim se houver uma ação coordenada por parte das autoridades para desencorajar esses anúncios públicos? Assim que alguém vender ilegalmente dados pessoais e tiver chance maior que zero de ser preso, teremos menos gente vendendo ”, finaliza.

De quem é o interesse?

Coincidentemente, na última quarta-feira (24), a 22ª Vara Cível Federal de São Paulo negou liminar que obrigou a Serasa a notificar seus clientes sobre o mega vazamento, justamente pela falta de provas de que a empresa está envolvida no incidente. “Só depois das necessárias provas será possível determinar o cumprimento do dever legal de comunicar aos titulares o incidente do vazamento de dados”, destacou o desembargador José Henrique Prescendo, responsável pelo julgamento.

A grande questão agora é: se o megavasamento é realmente uma coleção de dados reaquecidos, quem teria interesse em divulgar esse conteúdo? Podemos trabalhar apenas com duas hipóteses: o criminoso (que lucrará com a venda do banco de dados de qualquer maneira, embora não haja evidências de que teve sucesso em suas vendas) e as empresas de segurança que oferecem soluções B2B para evitar vazamentos de dados. Com o desespero do público, é natural que a demanda por esse tipo de serviço cresça.

Mesmo assim, vale lembrar que, se ficar comprovado que o vazamento não é novo, que os dados foram obtidos de forma legítima e que a Serasa não tem relação com o incidente, os responsáveis pela disseminação dessa “ideia” possivelmente podem estar enquadrados em arte. 340 do Código Penal: “Provocar a ação da autoridade, informando-a da ocorrência de crime ou contravenção que ele sabe não ter ocorrido”. É a famosa “falsa denúncia de crime” e o infrator pode ser detido por seis meses.

O Hack continuará investigando o caso.

 

Fontes: Digital Convergence, G1

Você pode gostar também

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.