Eis um segredo que quase todo mundo que lida com segurança digital no Brasil sabe: criminosos virtuais podem obter dados pessoais (como RG, CPF, endereço e número de telefone) de praticamente qualquer cidadão brasileiro. E isso não é porque uma ou outra empresa, ou um órgão do governo, foi invadido ou agiu com descaso. Sorte nossa se fosse assim. Infelizmente, nossos dados estão disponíveis em várias fontes distintas.
A possível invasão do banco de dados do serviço de proteção ao crédito da Boa Vista é apenas mais um a entrar na lista -- e provavelmente nem é um integrante novo dela. Isso porque, na cruel selva virtual brasileira, não é preciso invadir ninguém para ter acesso a dados pessoais.
Muitas empresas têm contrato para acessar os bancos de dados de proteção ao crédito para que possam conhecer melhor seus clientes. Criminosos têm duas opções para acessar esses dados: contaminar o computador dessas empresas com um vírus, para que eles controlem remotamente a máquina e consigam acesso ao banco de dados, ou simplesmente roubar a senha de um usuário específico.
É claro que o acesso é limitado -- não se compara a ter o banco de dados inteiro nas mãos. Mas dá pra usar a senha algumas vezes até que o problema seja percebido e, como são muitas as empresas que contratam esse tipo de acesso, é óbvio que alguma delas vai ter falhas em sua segurança.
Em certos espaços da internet brasileira, existe até a figura do "Serasafag", alguma pessoa com acesso a esses bancos de dados (não necessariamente da Serasa) que faz consultas solicitadas por outras pessoas. Os pedidos podem ser atendidos de graça, mas nem sempre. Entre criminosos, que normalmente usam os dados para finalizar uma fraude bancária ou com cartão de crédito, uma consulta aos dados sai por R$ 15, pagos em criptomoedas como o Bitcoin.
Se isso parece trabalhoso, há outras saídas. Em 2011, o Ministério do Trabalho e Emprego deixou uma brecha que permitia obter dados de milhões de brasileiros a partir do número do CPF. Um site criminoso intermediava as consultas, o que significa que uma cópia desse banco de dados certamente foi obtida pelos hackers e ainda circula no submundo da rede.
E as opções não acabam por aí. Há casos confirmados de vendas de senhas do banco de dados do Infoseg, um banco exclusivo de autoridades policiais, hoje rebatizado de Sinesp (Sistema Nacional de Informações de Segurança Pública). Certa vez, recebi um telefonema de um hacker que alegou ter obtido meu número (recentemente obtido e não cadastrado em listas telefônicas) no Infoseg.
Quando alguns internautas resolverem realizar um trote de péssimo gosto contra estudantes cadastrados no Sistema de Seleção Unificada no ano passado, a opção preferida para obter os dados das vítimas era o cadastro único do SUS (CadSUS), que entregava os dados necessários para redefinir a senha e trocar os cursos preferenciais dos estudantes.
Pela lei atual no Brasil, acessos indevidos como estes não geram nenhuma punição. Não é preciso nem avisar a pessoa que teve seus dados acessados. Do ponto de vista das empresas envolvidas, é trocar a senha ou apagar um usuário e bola para frente.
Foi exatamente isso que o Banco Inter tentou fazer, negando totalmente qualquer vazamento de dados ou acesso indevido. O banco agora responde a uma ação de R$ 10 milhões movida pelo Ministério Público do Distrito Federal, mas é difícil saber qual será o resultado dessa ação.A proteção de dados ainda é território inexplorado na Justiça brasileira.
A Lei Geral de Proteção de Dados (LGPD) do Brasil, recentemente sancionada, muda esse quadro. Não só porque vai exigir certos cuidados no tratamento e armazenagem das informações, mas também porque obriga as empresas a avisarem consumidores impactados em vazamentos. Infelizmente, é cedo para comemorar. A lei só começa a valer em março de 2020 e ainda depende um novo projeto para definir como será o órgão responsável pela fiscalização da proteção de dados.
Desse modo, seja você afetado pelo vazamento da Boa Vista ou não, há uma boa e uma má notícia. A boa é que não faz muita diferença. A má notícia é que, pelo menos até 2020, ainda que este caso gere uma investigação, como a do Banco Inter, seus dados podem ser acessados em outros lugares e você provavelmente não vai ficar sabendo.
https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2018/09/05/possivel-vazamento-de-dados-da-boa-vista-mostra-importancia-da-lei-de-protecao-de-dados.ghtml
A possível invasão do banco de dados do serviço de proteção ao crédito da Boa Vista é apenas mais um a entrar na lista -- e provavelmente nem é um integrante novo dela. Isso porque, na cruel selva virtual brasileira, não é preciso invadir ninguém para ter acesso a dados pessoais.
Muitas empresas têm contrato para acessar os bancos de dados de proteção ao crédito para que possam conhecer melhor seus clientes. Criminosos têm duas opções para acessar esses dados: contaminar o computador dessas empresas com um vírus, para que eles controlem remotamente a máquina e consigam acesso ao banco de dados, ou simplesmente roubar a senha de um usuário específico.
É claro que o acesso é limitado -- não se compara a ter o banco de dados inteiro nas mãos. Mas dá pra usar a senha algumas vezes até que o problema seja percebido e, como são muitas as empresas que contratam esse tipo de acesso, é óbvio que alguma delas vai ter falhas em sua segurança.
Em certos espaços da internet brasileira, existe até a figura do "Serasafag", alguma pessoa com acesso a esses bancos de dados (não necessariamente da Serasa) que faz consultas solicitadas por outras pessoas. Os pedidos podem ser atendidos de graça, mas nem sempre. Entre criminosos, que normalmente usam os dados para finalizar uma fraude bancária ou com cartão de crédito, uma consulta aos dados sai por R$ 15, pagos em criptomoedas como o Bitcoin.
Se isso parece trabalhoso, há outras saídas. Em 2011, o Ministério do Trabalho e Emprego deixou uma brecha que permitia obter dados de milhões de brasileiros a partir do número do CPF. Um site criminoso intermediava as consultas, o que significa que uma cópia desse banco de dados certamente foi obtida pelos hackers e ainda circula no submundo da rede.
E as opções não acabam por aí. Há casos confirmados de vendas de senhas do banco de dados do Infoseg, um banco exclusivo de autoridades policiais, hoje rebatizado de Sinesp (Sistema Nacional de Informações de Segurança Pública). Certa vez, recebi um telefonema de um hacker que alegou ter obtido meu número (recentemente obtido e não cadastrado em listas telefônicas) no Infoseg.
Quando alguns internautas resolverem realizar um trote de péssimo gosto contra estudantes cadastrados no Sistema de Seleção Unificada no ano passado, a opção preferida para obter os dados das vítimas era o cadastro único do SUS (CadSUS), que entregava os dados necessários para redefinir a senha e trocar os cursos preferenciais dos estudantes.
Pela lei atual no Brasil, acessos indevidos como estes não geram nenhuma punição. Não é preciso nem avisar a pessoa que teve seus dados acessados. Do ponto de vista das empresas envolvidas, é trocar a senha ou apagar um usuário e bola para frente.
Foi exatamente isso que o Banco Inter tentou fazer, negando totalmente qualquer vazamento de dados ou acesso indevido. O banco agora responde a uma ação de R$ 10 milhões movida pelo Ministério Público do Distrito Federal, mas é difícil saber qual será o resultado dessa ação.A proteção de dados ainda é território inexplorado na Justiça brasileira.
A Lei Geral de Proteção de Dados (LGPD) do Brasil, recentemente sancionada, muda esse quadro. Não só porque vai exigir certos cuidados no tratamento e armazenagem das informações, mas também porque obriga as empresas a avisarem consumidores impactados em vazamentos. Infelizmente, é cedo para comemorar. A lei só começa a valer em março de 2020 e ainda depende um novo projeto para definir como será o órgão responsável pela fiscalização da proteção de dados.
Desse modo, seja você afetado pelo vazamento da Boa Vista ou não, há uma boa e uma má notícia. A boa é que não faz muita diferença. A má notícia é que, pelo menos até 2020, ainda que este caso gere uma investigação, como a do Banco Inter, seus dados podem ser acessados em outros lugares e você provavelmente não vai ficar sabendo.
https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2018/09/05/possivel-vazamento-de-dados-da-boa-vista-mostra-importancia-da-lei-de-protecao-de-dados.ghtml
