vijesti

Nevladina organizacija traži od Serasa Experian kaznu od 200 milijuna R$ zbog curenja informacija

Fábio Devito 17 veljače 2021

Brazilski institut za obranu zaštite osobnih podataka, usklađenosti i informacijske sigurnosti (TAJNOST) podnio je tužbu Saveznom sudu protiv Serasa Experian zbog kršenje sigurnosti koje je otkrilo oko 220 milijuna CPF-ova i 40 milijuna brazilskih CNPJ-ova u siječnju. Prema postupku, nevladina organizacija Sigilo traži od Serasa kaznu od 220 milijuna R$ za curenje informacija.

Prema Sigilu, Serasa Experian bi bila odgovorna za krhkost podataka o brazilskom stanovništvu, što podrazumijeva kompenzaciju kolektivne moralne i materijalne štete. Zatražena novčana kazna, međutim, neće se vratiti predlagatelju tužbe, već će biti vraćena Poseban fond za difuzna prava (FID), institucija stvorena Ustavom iz 1989. i koja nastoji djelovati kao popravljač gubitaka prouzročenih društvu.

Također prema Sigilu, osim novčane kazne, tužba također zahtijeva naknadu u iznosu od R$ 15 za svakog od vlasnika podataka pogođenih ovim curenjem podataka, uz obavezu Serasa da identificira i komunicira sve pojedince, fizičke ili pravne osobe , na koje je utjecalo curenje. Peticija također predviđa dnevnu kaznu od 10 R$ za nepoštivanje upozorenja.

48 sati za pojašnjenje

Što je još važnije od novčane kazne i obavijesti pogođenih, radnja također zahtijeva da Serasa Experian u roku od 48 sati otkrije koji su incidenti vezani uz sigurnost informacija rezultirali curenjem podataka stanovništva.

Ovo se pojašnjenje može učiniti putem službenih vozila tvrtke na društvenim medijima, osim toga, Serasa se mora obvezati na usvajanje tehnoloških mjera za popravak podataka koji su procurili s interneta, kako bi se zaustavili gubici.

Shvatite slučaj

U tjednu od 20. siječnja nekoliko kompanija za digitalnu sigurnost identificiralo je curenje milijuna CPF-ova i CNPj-ova na internetu. Podrijetlo podataka, prethodno nepoznato, bilo bi povezano s osjetljivim zapisima, kao što su telefonski računi, zapisi DETRAN-a, kreditni rezultati, porezni zapisi, između ostalog.

Objavljivanje ovih podataka dogodilo se asinkrono u dva trenutka, putem dubokog weba. Prvo su objavljene datoteke koje sadrže samo CPF-ove stanovništva. Zatim su se pojavile druge baze podataka s CNPJ-ovima.

Prema onima koji su bili u kontaktu s materijalom, datoteka koja je procurila je oko 14 GB i sadržavala je približno 220 milijuna podataka koji se odnose na fiskalnu godinu 2019. i nosili bi naziv "Serasa Experian".

Unatoč dokazima, tvrtka za kreditnu analizu i indikacije niječe da je povezana s curenjem. Osim instituta Sigilo, i drugi subjekti poput Procon također zahtijevaju pozicioniranje tvrtke.

Kako mogu znati jesu li moji podaci procurili?

Nažalost, još uvijek Ne postoji 100% siguran način da saznate jesu li vaši podaci procurili. Nakon curenja informacija pojavile su se mnoge web stranice koje su nudile alternative za prepoznavanje integriteta vaših podataka. Do danas nijedan od njih nema potvrdu ili odobrenje od strane vlade i tijela odgovornih za ovu vrstu provjere.

Kada ste u nedoumici, nemojte otkrivati svoje podatke. I upravo je to razlog zašto je Serasino pozicioniranje tako važno. Čak i ako tvrtka nije odgovorna za krhkost koja je rezultirala izloženošću stanovništva, važno je osigurati da se to više ne dogodi.

Broj procurjelih podataka veći je od broja aktivnih CPF-ova u Brazilu. To znači da su osim velikog dijela populacije vjerojatno bili izloženi i ljudi koji su već umrli.

Vlada također krivi izlaganje podataka

Iako je simbolična, radnja kojom se traži kazna i pojašnjenje od Serasa Experian za curenje može potrajati ili čak neće u potpunosti popraviti nastalu štetu. Istina je da Brazil ima niz elemenata koji slabe podatke građana.

Među tolikim strukturnim elementima, kao što su nepostojanje nadležnog tijela za nadzor primjene LGPD-a, jedna od stvari koja najviše šteti sigurnosti naših podataka je sustav pozitivne registracije.

Projekt koji je 2003. predložio tadašnji savezni zamjenik Guilherme Afif Domingos Zakon o pozitivnoj uknjižbi odredio stvaranje baze podataka za analizu kredita stanovništva.

Nakon nekoliko vrtoglavica, projekt je odobren 2011. godine s vrlo ozbiljnom greškom u pogledu sigurnosti podataka, određujući automatsko uključivanje svih ekonomski aktivnih građana u banku.

Za razliku od onoga što se do tada radilo, u kojem su samo oni negativni građani (dužnici) imali svoje podatke, brazilski kreditni sustav počeo je pohranjivati puno veću količinu informacija.

Da situacija bude gora, zakon je omogućio građanima da napuste ovu banku putem sustava zahtjeva za koji malo koji Brazilac zna. U tom bi slučaju ispravna opcija bila upravo suprotno, pozitivna baza kreditne analize u koju građanin traži uključivanje.

Čemu služi pozitivna registracija?

I Serasa Experian, SPC i drugi slični subjekti rade u osnovi na isti način, pružajući kreditnu analizu za tvrtke i financijske subjekte. Pristupom vašim podacima ti subjekti utvrđuju jeste li dobar ili loš platiša, jamčeći pogodnosti kao što su više kredita na tržištu, niže kamatne stope za financiranje itd.

Da biste saznali više ili čak zatražili brisanje svojih podataka iz pozitivnog registra, najjednostavnije je putem centra za korisničku podršku Serasa Experian na broj 0800-7766606. Povlačenje se mora izvršiti u roku od dva radna dana.

Slika: Markus Spiske/Unsplash