A Brazil Személyes Adatok Védelmének, Megfelelőségének és Információbiztonságának Intézete (TITOKTARTÁS) pert indított a szövetségi bíróságon a Serasa Experian ellen a következő okból: biztonsági incidens, amely körülbelül 220 millió CPF-et fedett fel és 40 millió brazil CNPJ januárban. A kereset szerint a Sigilo nem kormányzati szervezet 220 millió reál dollár bírságot követel a Serasától a szivárogtatás miatt.

Sigilo szerint a Serasa Experian felelős a brazil lakosság adatainak sérülékenységéért, amely kollektív erkölcsi és anyagi kártérítés hatálya alá tartozik. A kért bírság azonban nem a cselekmény kezdeményezőjéhez kerül vissza, hanem a ...-hoz. Különleges Alap a Diffúz Jogokért (FID), az 1989-es alkotmány által létrehozott intézmény, amelynek célja a társadalomnak okozott károk orvoslása.

Sigilo szerint a bírságon felül a kereset 15 10 reál dollár kártérítést is követel a szivárgás által érintett minden egyes adatalany után, valamint kötelezi a Serasát, hogy azonosítsa és értesítse a szivárgás által érintett összes személyt és jogi személyt. A petíció napi XNUMX XNUMX reál dollár bírságot is előír a felszólítások be nem tartása esetén.

48 óra a pontosításhoz

A bírságolásnál és az érintettek értesítésénél is fontosabb, hogy a kereset azt is kéri, hogy a Serasa Experian 48 órán belül hozza nyilvánosságra, hogy mely információbiztonsági incidensek eredményezték a lakosság adatainak kiszivárgását.

Ez a tisztázás a vállalat hivatalos közösségi média felületein keresztül történhet, továbbá a Serasának kötelezettséget kell vállalnia technológiai intézkedések elfogadására az internetről kiszivárgott adatok helyreállítására a veszteségek megállítása érdekében.

Értse meg az esetet

Január 20-án számos digitális biztonsági cég több millió CPF és CNPJ adatszivárogtatását azonosította az interneten. Az adatok korábban ismeretlen forrása állítólag érzékeny adatokhoz, például telefonszámlákhoz, DETRAN-nyilvántartásokhoz, hitelminősítésekhez és adózási nyilvántartásokhoz kapcsolódott.

Az adatok közzététele aszinkron módon, két szakaszban történt a deep weben keresztül. Először csak a populáció CPF-jeit tartalmazó fájlok kerültek nyilvánosságra. Ezután jelentek meg más, CNPJ-ket tartalmazó adatbázisok is.

Az anyaggal kapcsolatba kerültek szerint a kiszivárgott fájl körülbelül 14 GB méretű, és hozzávetőlegesen 220 millió adatot tartalmazott a 2019-es pénzügyi évre vonatkozóan. Az adatok gyökere a „Serasa Experian” címet viseli.

A bizonyítékok ellenére a hitelelemző és -közvetítő cég tagad minden kapcsolatot a kiszivárogtatással. A Sigilo intézet mellett más szervezetek, mint például a Procon Állást követelnek a cégtől is.

Honnan tudom, hogy kiszivárogtak az adataim?

Sajnos, még mindig Nincs 100%-ig biztonságos módja annak, hogy kiderítsük, kiszivárogtak-e az adatainkA szivárogtatással számos weboldal kínált alternatívák az adataid integritásának azonosításáraA mai napig egyik sem rendelkezik a kormány és az ilyen típusú ellenőrzésekért felelős szervezetek tanúsítvánnyal vagy jóváhagyásával.

Kétség esetén ne hozza nyilvánosságra adatait. Pontosan ezért olyan fontos a Serasa álláspontja. Még ha a vállalat nem is felelős a lakosság kitettségét okozó sebezhetőségért, fontos biztosítani, hogy ez ne történjen meg újra.

A kiszivárgott adatok száma meghaladja az aktív CPF-ek számát Brazíliában. Ez azt jelenti, hogy a lakosság nagy része mellett valószínűleg a már elhunyt emberek is ki voltak téve a fertőzésnek.

A kormányzat az adatszivárgást is okolja

Bár szimbolikus, a bírságot és a Serasa Experiantól a szivárogtatással kapcsolatos magyarázatot követelő intézkedés hosszú időt vehet igénybe, vagy akár nem is feltétlenül orvosolja teljesen az okozott károkat. Az igazság az, hogy Brazíliában számos olyan tényező van, amely gyengíti a polgárok adatait.

A sok szerkezeti elem közül, mint például az LGPD alkalmazásának ellenőrzésére illetékes szerv hiányaAz adataink biztonságát leginkább károsító rendszerek egyike a Pozitív Regisztrációs rendszer.

Az akkori szövetségi képviselő, Guilherme Afif Domingos által 2003-ban javasolt projekt Pozitív regisztrációs törvény elhatározta egy, a lakosság hitelképességének elemzésére szolgáló adatbázis létrehozását.

Számos jövés-menés után a projektet 2011-ben jóváhagyták egy nagyon súlyos adatbiztonsági hibával, amely előírta, hogy minden gazdaságilag aktív állampolgár automatikusan bekerüljön a bankba.

Ellentétben az addigi gyakorlattal, amelyben csak a negatív hitelminősítésű állampolgárok (adósok) adatai szerepeltek, a brazil hitelrendszer sokkal nagyobb számú információt kezdett tárolni.

Ráadásul a törvény opcionálissá tette az állampolgárok számára, hogy egy olyan kérési rendszeren keresztül hagyják el a bankot, amelyről kevés brazil tud. Ebben az esetben a helyes megoldás az ellenkezője lenne: egy pozitív hitelminősítési adatbázis, amelybe az állampolgár kéri a felvételét.

Mire jó a pozitív regisztráció?

A Serasa Experian, az SPC és más hasonló szervezetek alapvetően ugyanígy működnek, hitelelemzést végeznek vállalatok és pénzintézetek számára. Az Ön adataihoz való hozzáféréssel ezek a szervezetek azonosítják, hogy Ön jó vagy rossz fizető fél-e, garantálva az olyan előnyöket, mint a több hitel a piacon, az alacsonyabb finanszírozási kamatlábak stb.

Ha többet szeretne megtudni, vagy akár adatai törlését kérni a pozitív nyilvántartásból, a legegyszerűbb módja a Serasa Experian Ügyfélszolgálati Központon keresztül, a 0800-7766606-os telefonszámon lehet érdeklődni. A törléshez két munkanapon belül kell eljárni.

Kép: Markus Spiske/Unsplash