Na semana passada, o Procon-SP notificou as operadoras de telefonia celular Claro, Oi, Tim e Vivo a prestarem esclarecimentos sobre um possível vazamento de dados de 103 milhões de usuários, divulgado pela empresa de segurança virtual Psafe, que também foi acionada pelo órgão de defesa do consumidor.

Além da quantidade de dados vazados, a notícia chegou para se somar a outros vazamentos, expondo muito a fragilidade das empresas e a segurança dos usuários. “Esses vazamentos são gravíssimos e permitirão que sejam aplicados muitos golpes. O Procon-SP já está investigando e pede que as pessoas tomem máxima cautela, desconfiem de tudo e jamais passem dados pessoais ou entrem em sites que não conheçam”, alerta o diretor executivo do Procon-SP, Fernando Capez.

Mas, como se dá um vazamento dessa proporção?

Esse tipo de ocorrência, que tem se tornado tão frequente, preocupa também empresas e usuários. Rinaldo Ribeiro é sócio de cibersegurança da EY Brasil e conta que as empresas atuam em ecossistemas complexos, que envolvem, muitas vezes, diferentes entidades e pessoas em sua infraestrutura. Basicamente, é preciso avaliar os controles técnicos, suas possíveis falhas, e controles não técnicos, como pessoas e formas com que lidam com os dados dos usuários para poder investigar se um vazamento realmente aconteceu.

Procuradas, as operadoras envolvidas informam que investigaram a questão e nenhum vazamento de dados foi detectado, levantando suspeitas sobre a descoberta da Psafe. Rinaldo lembra, no entanto, que o ataque pode ocorrer de forma silenciosa e indetectável durante meses. “Devido o nível de sofisticação dos atacantes, pode ser que tenha ocorrido e, mesmo no pós-incidente, com investimento, investigação e equipes extras, não se consiga descobrir a causa-raiz de como o vazamento foi feito.”

De olho na deep web

Em sua página oficial, a PSafe diz que monitora constantemente a deep web (a parte da internet que não é visível a buscadores e precisa ser acessada por ferramentas especiais, o que pode ser usado para atividades ilegais). Dessa forma, identificou uma base de dados à venda que coloca em risco potencial de vazamento de mais de 100 milhões de contas de celular.

A lista teria número de celular, nome completo do assinante e endereço. O CEO da empresa, Marco DeMello, afirmou no site que os dados teriam sido conseguidos por meio de duas operadoras de telefonia nacionais e a equipe da PSafe contatou os cibercriminosos para pedir uma amostra do banco de dados.Ao site da Forbes Brasil, a empresa confirmou que informações sensíveis sobre o presidente Jair Bolsonaro, Willian Bonner e Fátima Bernardes constam na lista da deep web.

Procurada pela reportagem, a PSafe se manifestou por meio da assessoria de imprensa, afirmando que: “O Grupo CyberLabs, formado pela fusão entre a empresa de ciberseguranca PSafe e a startup de inteligência artificial CyberLabs, informa que identificou os recentes possíveis incidentes de segurança a partir do uso de Inteligência Artificial aplicada à cibersegurança. O Grupo comunicou as autoridades e vem colaborando com as investigações, assim como mantém contato com a Autoridade Nacional de Proteção de Dados (ANPD) no sentido de contribuir para a identificação e apuração de casos de vazamentos de dados no ambiente digital”.

Solicitamos entrevista com os responsáveis, mas a empresa informou não ter agenda por conta da correria da divulgação da fusão e que todas as informações sobre o assunto constam no comunicado acima descrito.

O que dizem as operadoras

O Procon deu prazo de 72 horas para que as operadoras se manifestassem para explicar se os vazamentos realmente ocorreram, os motivos e medidas adotadas. A Claro comentou que: “investe fortemente em políticas e procedimentos de segurança e mantém monitoramento constante, adotando medidas, de acordo com melhores práticas, para identificar fraudes e proteger seus clientes.

Sobre o caso citado na reportagem, a Claro reitera que segue investigando, como prática de governança. A empresa informa ainda que está colaborando com as autoridades.” Por meio de comunicado, a Tim informou que “não identificou a ocorrência de ataque ou vazamento que colocasse em vulnerabilidade dados de seus clientes ou dados próprios. Até o momento, não foi recebida nenhuma notificação. A TIM afirma e reitera que preza pela segurança de dados, atuando com as melhores práticas de cibersegurança”. A Vivo destacou que reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. “A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade”, afirmou por comunicado.

Procurada, a Oi não se manifestou até a conclusão desta reportagem.

LGPD

O vazamento de dados de usuários se torna ainda mais preocupante para as empresas uma vez que, desde 14 de agosto de 2020 está em vigor a Lei Geral de Proteção de Dados de Pessoas, a LGPD ou Lei nº 13.709.

Mas, o que é essa lei e o que ela impacta, de fato? Fabrício da Mota Alves, sócio do Serur Advogados e especialista em proteção de dados pessoais, de Brasília (DF), conta que a lei traz um conceito elástico do que é dado pessoal para, justamente, ampliar a proteção do cidadão: “dado pessoal é toda informação relacionada à pessoa natural identificada ou identificável, ou seja, que somando algumas informações possibilitam descobrir quem é aquele cidadão”, explica.

Somos donos dos nossos dados e podemos exigir que as empresas e instituições justifiquem porque e para que querem usá-los. E a LGPD garante isso: a empresa só pode coletar informações se tiver uma justa razão, ou seja, uma finalidade para aquilo.

E a discussão sobre o uso dos dados é antiga. Fabrício lembra que ela iniciou em 1983 na Suprema Corte Alemã, que criou o conceito de que não é possível ter uma vida plena se não houver controle dos próprios dados. Com o advento da tecnologia e a aceleração da pandemia, o acesso aos dados pessoais se tornou mais fácil, mas também mais controlado. Se ficar comprovado que as operadoras foram negligentes no trato dos dados dos usuários, elas responderão por isso. Ainda não pela LGPD, uma vez que as penalidades desta lei só passarão a ser aplicadas a partir de 01 de agosto.

“Como é uma relação de consumo, há espaço para que os órgãos de defesa do consumidor se manifestem e até o Ministério Público, porque é um vazamento gigantesco”, conta Fabricio.

Imagem: Anete Lusina / Pexels / CC