O Departamento de Proteção e Defesa do Consumidor, do Ministério da Justiça, notificou as operadoras Claro, Oi, Tim e Vivo e cobrou explicações sobre o vazamento de dados de 103 milhões de celulares. O prazo para resposta é de 15 dias.
O objetivo é identificar quem teve os dados acessados neste mês, quais informações foram obtidas e de que forma foram vazadas.
Segundo especialistas em tecnologia, esses dados são vendidos em um mercado clandestino na chamada “deepweb” — uma camada mais profunda da internet.
As operadoras informaram que adotam controles rígidos no acesso às informações dos clientes; que não identificaram ocorrência de vazamento de dados; e que estão colaborando com as autoridades.
A Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar e editar normas previstas na Lei Geral de Proteção de Dados (LGPD), informou na semana passada que está apurando o vazamento dos dados.
Em janeiro, foi identificado um outro megavazamento de dados na internet, o de 223 milhões de números de CPF colocados à venda por criminosos. O número de dados vazados é maior do que a população do País (estimada em 212 milhões) porque inclui dados de pessoas que já morreram.
Como ocorrem vazamentos de dados
O especialista em segurança cibernética Marcos Simplicio, professor da Escola Politécnica da Universidade de São Paulo, explica que megavazamentos de dados ocorrem, normalmente, de três formas: Invasão por um hacker do banco de dados de uma empresa; Invasão do site usado pela empresa para o consumidor acessar dados pessoais; Vazamento interno por funcionário que têm acesso a informações de clientes.
O primeiro caso, segundo Simplicio, exige conhecimento sofisticado do hacker, a ponto de ele ser capaz de burlar sistemas de segurança de grandes empresas. Isso costuma ocorrer quando a empresa utiliza plataformas ou softwares com vulnerabilidades, ou seja, com poucos mecanismos para bloquear acesso externo suspeito.
“Uma possibilidade, que não é a mais comum, é que alguns dos sistemas que a empresa utiliza tenha uma vulnerabilidade descoberta. Por exemplo, se o site da empresa usa alguma ferramenta de construção da plataforma, para facilitar essa construção, e descobre-se que essa ferramenta tem vulnerabilidade”, explica.
“O hacker explora essa vulnerabilidade e invade. Esse é o jeito clássico que vem ao nosso imaginário – o hacker habilidoso que descobre coisas novas, mas não é o mais frequente.”
A segunda hipótese para um vazamento de grandes proporções é a invasão, por hackers, da plataforma online usada pela empresa para que usuários acessem seus dados pessoais.
“Você pode ter uma vulnerabilidade no site de acesso ao usuário, na forma como ele foi construído. Por exemplo, ele não estar autenticando direito as pessoas. Então, existe um mecanismo de consulta, que deveria ser usado somente por usuários legítimos, mas que, por algum motivo, não está bem protegido”, exemplifica Marcos Simplicio, professor da USP.
A terceira possibilidade envolve participação direta de pessoas com acesso a dados confidenciais. Numa empresa de telefonia ou internet, por exemplo, operadores que atendem a demandas simples dos usuários conseguem acessar o banco de dados desses, para conseguir iniciar a resolução de problemas relacionados ao serviço.
“A maneira mais comum de vazar dados, embora menos reportada, é alguém que tem privilégio de acesso internamente abusar desse direito e vender as informações na deep web ou para um terceiro que vai vender depois na deep web”, diz o professor da USP.