Maior vazamento de dados pessoais do país expõe riscos da era digital

A ação mostrou que as empresas não estão preparadas para fugir da ação dos hackers

Por Luiz Felipe Castro SEGUIR SEGUINDO Atualizado em 12 mar 2021, 16h02 - Publicado em 12 fev 2021, 06h00

Abre arte — (Peter Dazeley/Getty Images)

A nova era digital trouxe mais comodidade para a vida das pessoas, tornou os sistemas de comunicação instantâneos, permitiu que transações financeiras complexas fossem realizadas em questão de segundos, abriu novos campos para profissionais de diversas áreas de negócios e mudou por completo a maneira como a sociedade se relaciona com a tecnologia. Isso é extraordinário, mas existe o outro lado da moeda, que não pode ser ignorado. Na mesma medida em que escancarou as portas de um maravilhoso mundo, a ultraconectividade tem uma face sombria. Nunca os dados de cidadãos e empresas estiverem tão expostos e sujeitos à ação predadora dos criminosos. Estima-se que, todos os dias, 2,2 milhões de terabytes de dados são gerados no ambiente on-line. Para armazenar apenas 1 terabyte de informação, são precisos 695 000 disquetes dos antigos ou 1 500 discos de CD-ROM. É, portanto, realmente espantoso o volume de informações que navega na rede mundial de computadores. Atentos a isso, os bandidos digitais agem como tubarões à espreita de peixinhos. Eles atacam os mais vulneráveis e, no oceano de dados, têm sido cada vez mais bem-sucedidos.

O Brasil acaba de quebrar um recorde na área digital. No dia 14 de janeiro, descobriu-se que o país foi alvo do maior ataque cibernético da história — maior, diga-se, até agora, porque os casos se sucedem em velocidade assustadora. Naquela data, o sistema de monitoramento da empresa de segurança digital PSafe detectou a divulgação indevida de 40 milhões de CNPJs de empresas nacionais. Era apenas o começo. Uma investigação mais profunda, que durou quatro dias, concluiu que o hacker em questão detinha também 223 milhões de CPFs — número superior ao de toda a população brasileira, pois incluía documentos de pessoas mortas —, além de outras informações detalhadas e valiosas, que pretendia vender.

A devassa se deu na chamada dark web, a zona abaixo da superfície da internet onde se navega normalmente, e dentro da deep web, a rede profunda, onde endereços não são indexados por motores de busca como o Google. A dark web é a parte mais sinistra da deep web, na qual os domínios são voltados para práticas criminosas como tráfico de drogas, exploração infantil, serviços de assassinos de aluguel e pedofilia. A PSafe conseguiu contato com o autor do crime, que alegou ter extraído os dados do sistema da Serasa Experian. Com base na escrita utilizada por ele, a empresa acredita que o ataque tenha partido do Leste Europeu, região famosa pela proliferação de hackers desde a Guerra Fria. Não foi possível, porém, descobrir a identidade do criminoso justamente pelo fato de a conversa ter ocorrido na zona de difícil rastreamento. Em nota, o Serasa disse ter realizado uma investigação interna e nega relação com o megavazamento. “Apesar das investigações detalhadas conduzidas até o momento, não há evidências de que nossos sistemas tenham sido comprometidos.” As autoridades averiguam o caso.

arte crimes digitais

Especialistas consultados por VEJA acreditam se tratar de uma estratégia chamada de “vazamento enriquecido”, na qual os dados vêm de diversas fontes. Na última quarta-feira, 10, a PSafe anunciou a descoberta de outro vazamento bombástico de 102 milhões de contas de celular, que o hacker diz ser do banco de dados das operadoras de telefonia Vivo e Claro. As empresas afirmam que estão investigando o caso. Independentemente da origem, não restam dúvidas de que são casos preocupantes, que podem levar — na verdade, quase sempre levam — a uma série de outros crimes. “O coronavírus fez a vida on-line acelerar dez anos em seis meses e os crimes virtuais também”, diz Marco DeMello, fundador da PSafe. “Enfrentamos duas pandemias, uma biológica e outra digital. A segunda não está recebendo a devida atenção.” Ele diz isso com base em sua longa experiência na área. Antes de fundar a PSafe, trabalhou dez anos na Microsoft e foi um dos responsáveis pela criação do Hotmail.

Continua após a publicidade

ALVO - Falhas de segurança: em 2020, o banco digital Nubank foi vítima de fraudes cibernéticas e expôs informações de clientes - — ALVO - Falhas de segurança: em 2020, o banco digital Nubank foi vítima de fraudes cibernéticas e expôs informações de clientes – (Germano Lüders/.)

O drama é global: recente relatório da empresa americana de informática McAfee calculou que, em 2020, o cibercrime gerou prejuízos à economia mundial de 1 trilhão de dólares, ou cerca de 1% do PIB de todos os países. O Brasil se destaca entre as nações mais vulneráveis. Em número de ataques, só perde para a Turquia. Para piorar, os riscos aumentaram durante a pandemia, com diversos trabalhadores em regime home office. De acordo com especialistas, as redes domésticas de computadores são mais suscetíveis à ação dos hackers, o que foi suficiente para levar à disparada de crimes. O avanço do comércio eletrônico, outro efeito do coronavírus, também abriu o apetite dos malfeitores. No Brasil, os ataques ao varejo on-line aumentaram 53,6% em 2020, na comparação com 2019, segundo dados da ClearSale, empresa de segurança digital. A companhia analisou 106 bilhões de operações digitais e identificou 3,5 milhões de tentativas de fraude.

arte crimes digitais 2

Os perigos se concentram nos dados de órgãos do governo e de grandes empresas. No ano passado, o Tribunal Superior Eleitoral (TSE), o Ministério da Saúde e a Embraer, entre outros, foram alvos de invasões. Também em 2020, uma brecha simples de segurança expôs dados pessoais de clientes do banco digital Nubank. De acordo com um relatório publicado pelo pesquisador Heitor Gouvêa, links de cobrança em redes sociais foram indexados nas buscas do Google sem que os clientes ou o banco soubessem. Outro gigante exposto foi a Uber. A maior empresa de aluguel de carros do mundo teve dados como nome, e-mail e telefone de 57 milhões de usuários roubados em 2016. Além da crise de imagem, a empresa teve de pagar multa de 148 milhões de dólares às autoridades americanas.

Afinal, quem são as pessoas que tentam roubar os dados de terceiros? A figura do hacker é geralmente associada à de nerds solitários que agem nas sombras da madrugada, escondidos em porões sujos e escuros. Na realidade, o cibercriminoso moderno trabalha para grupos organizados, geralmente em expediente comercial — a maioria dos golpes em 2020 ocorreu entre 14 e 19 horas, segundo a ClearSale — e apoiado por sistemas de inteligência artificial. O hacker costuma manejar uma enorme base de dados e alimentar bots (robôs), cujos algoritmos são otimizados para mínima resistência: quando cruzam com um segundo fator de autenticação, eles desistem e pulam para a próxima vítima. Outra lenda antiga apontava sites pornôs como o paraíso dos hackers. Na verdade, eles atacam praticamente todos os tipos de conteúdo e qualquer pessoa está vulnerável, seja rica, seja pobre, famosa ou anônima.

Continua após a publicidade

NA CONTRAMÃO - Uber: empresa pagou multa milionária por esconder que os dados dos usuários foram roubados - — NA CONTRAMÃO - Uber: empresa pagou multa milionária por esconder que os dados dos usuários foram roubados – (Smith Collection/Gado/Getty Images)

No Brasil, a nova Lei Geral de Proteção de Dados (LGPD), sancionada em setembro de 2020, tentará dar maior segurança às informações pessoais, obrigando as empresas a edificar barreiras que evitem, ou pelo menos limitem, o ataque de hackers. Não será tarefa fácil. Até agora, os recursos tecnológicos disponíveis não têm sido suficientes para inibir os bandidos cibernéticos. Eles continuam a agir livremente em meio à assombrosa quantidade de dados que transitam a cada segundo na internet.

Publicado em VEJA de 17 de fevereiro de 2021, edição nº 2725

Errata: Diferentemente do que consta na edição impressa da matéria “Maior vazamento de dados pessoais do país expõe riscos da era digital”, não houve vazamento de dados de cartão de crédito de usuários da Uber no incidente ocorrido em 2016. Como informado à VEJA durante a apuração e como consta das comunicações feitas pelo CEO e da página oficial da empresa, os indivíduos conseguiram baixar: login de usuários (que nem sempre é seu nome completo), celular e e-mail cadastrado na conta Uber (sendo que, como a empresa oferece um recurso de signup light – que não demanda email – nem todos tiveram este dado exposto). Nenhum outro tipo de dado – documento de identidade, histórico de viagem ou dados de cartão/ bancário – foi acessado.