Topo

Como megavazamentos de dados acontecem e por que é difícil se proteger deles

Megavazamentos, que teriam atingido inclusive agentes públicos, indicam o quão vulnerável é a privacidade dos brasileiros em geral. - boonchai wedmakawand/Getty Images
Megavazamentos, que teriam atingido inclusive agentes públicos, indicam o quão vulnerável é a privacidade dos brasileiros em geral. Imagem: boonchai wedmakawand/Getty Images

Nathalia Passarinho - Da BBC News Brasil em Londres

11/02/2021 19h30

Entenda como informações sigilosas podem ser obtidas em massa por hackers e criminosos e comercializadas na internet.

No ano passado, os CPFs de 223 milhões de pessoas vivas e falecidas vazaram, causando grande preocupação sobre o uso deles para golpes e crimes. Agora, veio à tona mais um vazamento de proporções gigantescas - dessa vez dos registros de mais de 100 milhões de contas de celulares, e entre elas estaria a do presidente Jair Bolsonaro.

Os dois casos foram descobertos pela empresa de segurança cibernética PSafe ao monitorar negociações de venda de dados sigilosos na deep web- a parte da internet que não pode ser encontrada por buscadores como o Google.

O vazamento, noticiado primeiro pelo site NeoFeed, envolveu 102.828.814 contas de celular com informações sensíveis como tempo de duração de ligações, número do telefone e outros dados pessoais, como RG e endereço.

Segundo informou a PSafe ao NeoFeed, cada registro estava sendo vendido a US$ 1, com possibilidade de valores unitários menores no caso da aquisição de milhões de registros por um mesmo comprador.

Esse megavazamento, que teria atingido inclusive agentes públicos, indica o quão vulnerável é a privacidade dos brasileiros em geral.

Mas como é que informações sigilosas podem ser obtidas, em massa, por hackers e criminosos e comercializadas na internet?

Quem têm interesse em comprar essas informações? E o que fazer para reduzir o risco de ter informações vazadas?

Como ocorrem vazamentos de dados sigilosos

O especialista em segurança cibernética Marcos Simplicio, professor da Escola Politécnica da Universidade de São Paulo, explica que megavazamentos de dados ocorrem, normalmente, de três formas:

  1. Invasão por um hacker do banco de dados de uma empresa
  2. Invasão do site usado pela empresa para o consumidor acessar dados pessoais
  3. Vazamento interno por funcionário que têm acesso a informações de clientes

O primeiro caso, segundo Simplicio, exige conhecimento sofisticado do hacker, a ponto de ele ser capaz de burlar sistemas de segurança de grandes empresas. Isso costuma ocorrer quando a empresa utiliza plataformas ou softwares com vulnerabilidades, ou seja, com poucos mecanismos para bloquear acesso externo suspeito.

"Uma possibilidade, que não é a mais comum, é que alguns dos sistemas que a empresa utiliza tenha uma vulnerabilidade descoberta. Por exemplo, se o site da empresa usa alguma ferramenta de construção da plataforma, para facilitar essa construção, e descobre-se que essa ferramenta tem vulnerabilidade", explica.

"O hacker explora essa vulnerabilidade e invade. Esse é o jeito clássico que vem ao nosso imaginário - o hacker habilidoso que descobre coisas novas, mas não é o mais frequente."

No caso do vazamento dos registros de celulares, o vendedor dos dados afirmou ao PSafe que eles seriam da base de dados das operadoras Vivo e Claro, segundo o site NeoFeed.

Em notas enviadas à BBC News Brasil, a Vivo e a Claro negam que tenha ocorrido vazamento de dados de seus clientes:

"A Vivo reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade."

"A Claro informa que não identificou vazamento de dados. E, segundo informou a reportagem, a empresa que localizou a base não encontrou evidências que comprovem a alegação dos criminosos. Além disso, como prática de governança, uma investigação também será feita pela operadora. A Claro investe fortemente em políticas e procedimentos de segurança e mantém monitoramento constante, adotando medidas, de acordo com melhores práticas, para identificar fraudes e proteger seus clientes".

O especialista em segurança cibernética Luiz Faro, diretor de engenharia para América Latina da Forcepoint, explica por que é tão difícil identificar de onde saíram as informações.

"É preciso tomar cuidado ao estabelecer a origem dos dados de maneira direta, porque os dados pulam. O dado que está numa operadora vai para outro fornecedor, que vai para outro, que é armazenado por um terceiro. Uma das grandes dificuldades é manter a rastreabilidade de dados preciosos", disse à BBC News Brasil.

Site de acesso do usuário com falhas de segurança

A segunda hipótese para um vazamento de grandes proporções é a invasão, por hackers, da plataforma online usada pela empresa para que usuários acessem seus dados pessoais.

"Você pode ter uma vulnerabilidade no site de acesso ao usuário, na forma como ele foi construído. Por exemplo, ele não estar autenticando direito as pessoas. Então, existe um mecanismo de consulta, que deveria ser usado somente por usuários legítimos, mas que, por algum motivo, não está bem protegido", exemplifica Marcos Simplicio, professor da USP.

"Com isso, eu consigo entrar no sistema, trocar o CPF disponível na consulta e ele me entrega os dados. Ele não deveria, mas me entrega os dados."

Vazamento interno

Segundo Marcos Simplício, a terceira possibilidade envolve participação direta de pessoas com acesso a dados confidenciais.

Numa empresa de telefonia ou internet, por exemplo, operadores que atendem a demandas simples dos usuários conseguem acessar o banco de dados desses, para conseguir iniciar a resolução de problemas relacionados ao serviço.

"A maneira mais comum de vazar dados, embora menos reportada, é alguém que tem privilégio de acesso internamente abusar desse direito e vender as informações na deep web ou para um terceiro que vai vender depois na deep web", diz o professor da USP.

Para evitar que isso ocorra, empresas costumam recorrer a ferramentas de segurança que acendam um alerta quando uma funcionário acessa, por exemplo, número muito grande de dados de usuários num curto espaço de tempo.

"Existem ferramentas para monitorar usuários por acessos estranhos", diz o especialista.

"Por exemplo, se eu ligo para uma empresa de telefonia, o operador tem que conseguir acessar meu cadastro. Um desses operadores poderia fazer o download de uma grande quantidade de dados num curto espaço de tempo, o que seria um comportamento estranho. Mas se a empresa não monitora, ele consegue fazer."

Luiz Faro, da Forcepoint, destaca que, se a empresa tiver um sistema de segurança forte, criminosos interessados em obter informações dos consumidores vão focar em aliciar funcionários com acesso privilegiado, em vez de tentar ataques diretos ao site ou banco de dados.

"O que faz o ladrão é a oportunidade. Numa empresa que tem a rede mais protegida, as pessoas são mais atacadas (assediadas para venda de informação). A empresa que tem a rede menos protegida, tem a rede mais atacada."

E quem compra essas informações?

Informações pessoais de consumidores são dados valiosos tanto para operações empresariais lícitas quanto atividades ilegais.

Registros como gastos com celular e bairro onde a pessoa mora ajudam a construir o perfil do consumidor, e uma empresa pode usar esses dados para oferecer produtos de maneira personalizada.

Outra utilidade menos nobre é para envio maciço de spam com propagandas, fake news ou mensagens de cunho político.

Números de celulares podem ainda ser usados para telemarketing. Há ainda a possibilidade de dados pessoais serem utilizados por criminosos para fraudes e extorsões.

Pessoas fingindo serem de empresas com a qual o consumidor mantem contato podem citar dados pessoais para ganhar a confiança e obter informações bancárias, de cartões de crédito ou mesmo convencer o interlocutor a fazer transferências bancárias.

Luiz Faro ainda cita outras utilizações ilegais possíveis para esse tipo de dados. "Dados pessoais podem ser usados para cadastro de pré-pago no nome de alguém ou para uma conta de banco nula criada especificamente para movimentação bancária ilegal."

"Tem gente que trabalha com dado roubado e gente que compra de terceiros e não quer nem saber se o dado é de fonte lícita ou roubado."

Como saber se você teve dados vazados

Infelizmente, segundo os especialistas ouvidos pela BBC News Brasil, um indivíduo dificilmente terá condições de verificar por si só se teve os dados vazados.

A única maneira de fazer isso seria conversar diretamente com o criminoso que está negociando os registros de celulares na deep web, o que, evidentemente, não é aconselhável.

Empresas de segurança, como a PSafe, vasculham a internet e chegam a conversar com os vendedores de produtos ilícitos para identificar vazamentos e aconselhar empresas clientes.

Mas quem faz isso são profissionais treinados para evitar, por exemplo, cair numa nova armadilha ao fazer download dos dados.

Normalmente, os hackers oferecem uma "amostra grátis" do produto oferecido, para que o comprador possa checar a veracidade dos dados. Revelam, por exemplo o registro de algumas pessoas, para que o interessado possa checar se as informações são verdadeiras.

Se há opção pela compra, o pagamento é feito em Bitcoins, por dificultar o rastreamento do dinheiro. Mas mesmo no download da amostra grátis pode haver armadilhas, como softwares - chamados de malwares - que invadem o computador da pessoa e exigem dinheiro pela devolução dos dados obtidos na máquina.

Normalmente, os hackers oferecem uma "amostra grátis" do produto oferecido. Se há opção pela compra, o pagamento é feito em Bitcoins, por dificultar o rastreamento do dinheiro. - Getty - Getty
Normalmente, os hackers oferecem uma "amostra grátis" do produto oferecido. Se há opção pela compra, o pagamento é feito em Bitcoins, por dificultar o rastreamento do dinheiro.
Imagem: Getty

O especialista em segurança cibernética Luiz Faro destaca que, logo após um amplo vazamento de dados, é importante que toda a população fique atenta para fraudes e esquemas de extorsão.

"Adote a postura pessimista. Foram vazados 100 milhões de registros de celulares, então, na prática, você tem quase 50% de chances de ter seus dados ali, é quase metade da população do Brasil, assumindo que cada registro diga respeito a uma única pessoa", destaca.

Faro recomenda que, se contatadas por uma empresa que requer dados pessoais, as pessoas desconfiem sempre e liguem para verificar se a chamada veio mesmo de uma empresa com que elas mantêm contrato.

"Toda vez que você recebe uma ligação de alguém dizendo que é de uma empresa, cheque, assuma que é uma fraude, verifique. Não faça verificação de dados com quem você não sabe quem é", recomenda.

E como impedir que dados pessoais vazem?

Quanto a medidas de proteção, elas também são limitadas quando se trata do vazamento de informações armazenadas por grandes empresas ou órgãos públicos. Para abrir uma conta de telefone, luz ou internet, invariavelmente o consumidor terá que informar dados pessoais.

A segurança desses dados fica a cargo dessas empresas. O que o consumidor pode fazer, eventualmente, é pedir indenização, se as investigações identificarem de onde saíram os dados.

Uma medida possível para mitigar riscos de ter dados pessoais circulando por aí é só fornecê-los quando estritamente necessário.

Marcos Simplicio aconselha não dar o verdadeiro número de celular ou e-mail ao conectar, por exemplo, em w-fi disponibilizado por estabelecimentos comerciais.

O mesmo vale para conexão em aplicativos ou registros em lojas e jogos online.

"Se você tem como evitar entregar seus dados, não entregue. Para registros de internet e jogos online, sugiro não fornecer número de telefone e dados verdadeiros. Se não está clara a necessidade de uma empresa ter seus dados, é porque possivelmente ela não deveria ter", afirma o professor da USP.

Num mundo em que dados pessoais circulam aos milhões em mercados ilegais, a principal recomendação dos especialistas é agir com desconfiança.

"Viva como se seus dados tivessem sido vazados. Tem grande chance de você estar certo", diz Faro.