Como proteger seus dados e o que dá para fazer quando eles vazam
O megavazamento de dados que expôs as informações de 223 milhões de CPFs deixou muita gente assustada e com medo. Ele não foi o primeiro e não será o último do tipo. Na última quarta-feira, por exemplo, vazaram mais de 100 milhões de contas telefônicas. Com tantos vazamentos, é comum se sentir de mãos atadas. Mas, você pode fazer algo para minimizar os danos e evitar problemas futuros. Como? Com as dicas abaixo, de especialistas ouvidos pelo Gizmodo Brasil.
Como (tentar) proteger melhor seus dados
Ative a autenticação em dois fatores
Com ela, não basta um atacante ter somente o usuário e a senha — é preciso um código ou uma autorização para liberar o acesso. Bruno Telles, COO da plataforma de caça de vulnerabilidades BugHunt, destaca que e-mails e contas de serviços financeiros deve estar protegidos com o recurso.
Algumas plataformas oferecem mais de uma opção para a autenticação em dois fatores, como aplicativos de tokens, chaves físicas, autorizações em dispositivos conhecidos e confirmação por SMS. Telles comenta que esta última opção é a menos segura de todas, mas ainda é melhor do que não ter nenhuma proteção extra.
Não use a mesma senha em todo lugar
“Se suas credenciais vazam, podem tentar usar em outro lugar”, explica Telles. Fabio Assolini, analista sênior de segurança da Kaspersky, diz que mesmo que um vazamento não inclua senhas, outros dados pessoais podem ser usados nos chamados ataques de força bruta: como muita gente usa nomes de familiares, datas de nascimento e números de telefone como senhas, essas informações podem ser usadas para tentar adivinhar as senhas e invadir as contas.
Telles diz que, como hoje todo mundo tem muitas contas online, a melhor solução é um cofre de senhas para armazenar tudo com segurança. Isso, porém, não basta: é preciso trocá-las periodicamente. Ele sugere que o usuário desenvolva esse hábito e troque suas senhas a cada três meses.
Seja discreto
Assolini recomenda ainda rever atitudes como dar o CPF em lojas para ter descontos em compras ou preencher cadastros que pedem muitas informações pessoais para consultas básicas. “Precisamos nos educar para sermos mais rigorosos com o compartilhamento das informações.”
O especialista também alerta para o compartilhamento de informações pessoais em redes sociais. “Quando você divide informações demais com pessoas das quais você não tem o controle, você oferece munições para que o cibercrime aja contra você”, explica o especialista em segurança.
Ele menciona golpes de clonagem de WhatsApp que usavam informações compartilhadas pelas próprias vítimas nas redes sociais para dar mais veracidade aos relatos. “Um controle sobre as funções de privacidade das suas redes, e até um questionamento sobre o conteúdo que publica, tudo isso é fundamental para uma vida segura na internet”, recomenda.
Telles destaca que contas de e-mail, que podem ser usadas para invadir outros serviços, e bancárias são as que merecem mais atenção na hora de se proteger. Assolini vai além e inclui nessa lista também contas corporativas, que podem servir de porta para ataques de ransomware, e redes sociais, que podem ser usadas em golpes contra outras pessoas.
Bruno Bioni, diretor-fundador da Data Privacy Brasil, também recomenda fazer um “detox” no smartphone, para desinstalar aqueles apps que foram baixados e usados apenas uma vez. “Hoje, o smartphone é uma das maiores fontes de coleta de dados”, ele explica
O que fazer quando dados vazam
O megavazamento de janeiro, aparentemente, não envolvia senhas, mas sim informações pessoais, de documentos a score de crédito. Dados desse tipo podem ser usados nos golpes que usam a chamada engenharia social. “De posse desses dados, eles tentam explorar a vulnerabilidade do ser humano”, explica Telles.
Segundo o engenheiro de software, é comum esse tipo de ataque tentar instigar a curiosidade da vítima. Por isso, é preciso prestar atenção e ter calma ao receber uma mensagem que induza a alguma ação. “Processe aquela informação, veja se ela faz sentido, cheque direto com a empresa”, aconselha. Também é importante notar que esse tipo de ataque pode acontecer por vários meios, de telefone a até mensagens diretas no Instagram.
Assolini também alerta para os boletos falsos, que podem ser criados a partir de dados obtidos de maneira não autorizada e enviados por correio ou e-mail para a vítima. “Você precisa ficar atento no momento da transação, e conferir se os dados da conta destinatária condizem com o da organização verdadeira”, recomenda o especialista em segurança. Caso haja dúvidas, é melhor entrar em contato com a empresa ou acessar o site e baixar novamente o boleto.
Com relação a outras fraudes, como contas “laranjas” e empréstimos com seus dados, Assolini recomenda o uso da ferramenta Registrato, do Banco Central. Com ela, é possível ver transações financeiras associadas ao seu CPF. “Caso alguém tenha feito alguma movimentação ilegítima, a recomendação é entrar em contato com a instituição bancária imediatamente”, diz o especialista em segurança.
Proteger os dados é um dever da empresa
A preocupação com vazamentos de dados se intensificou nas últimas semanas de janeiro, quando surgiram notícias que informações de mais de 223 milhões de brasileiros estavam sendo vendidas. Mas, como comenta Caio Telles, CEO da BugHunt, quando um vazamento vira notícia, é sinal de que ele já aconteceu há muito tempo, o que significa que os dados já podiam estar sendo usados em golpes.
E, mesmo com medidas como trocar senhas e consultar se os dados não estão sendo usados em fraudes, praticamente todos os especialistas ouvidos pela reportagem concordam: o usuário não tem muito o que fazer depois que um vazamento acontece. “Uma vez que acontece o dano, é difícil voltar ao estado anterior”, comenta Bioni.
Além disso, esse não foi o primeiro vazamento e não deve ser o último. “Considerando o cenário de hoje, é muito provável que todos já tenham tido algum tipo de dado vazado”, diz Assolini. Para Bioni, não é questão de “se” os dados vão vazar, e sim “quando” eles vão vazar. “As organizações que têm padrões de segurança mais fortes do mundo também têm incidentes de segurança de vazamentos.”
O diretor da Data Privacy Brasil destaca que a própria organização fonte dos vazamentos deve ter um plano de contingência para mitigar os danos causados aos titulares do dados, incluindo ferramentas de consulta para que eles possam saber quais foram as informações afetadas. “É como quando estoura uma barragem: o dano está feito, e a empresa precisa amparar aquelas pessoas que tiveram perdas.”
Bioni também diz que uma solução para as empresas diminuírem o risco de vazamentos é descentralizar as bases de dados em vez de concentrar todas as informações em um só banco. Assim, com bases específicas para cada produto ou serviço, no caso de uma empresa, ou para cada política pública, no caso de uma entidade estatal, caso haja alguma vulnerabilidade, o dano é menor. Essas bases podem ser interoperáveis, e cada órgão ou setor poderia acessar dados de outro quando necessário.
Até o momento, ainda não se sabe qual foi a fonte do vazamento. “Dados como esses podem vir de diferentes organizações, então, pode ser precipitado querer sugerir uma origem sem que isso tenha sido provado”, explica Assolini.
As investigações podem revelar de onde saíram os dados e como eles vazaram, mas até agosto deste ano, a Autoridade Nacional de Proteção de Dados não poderá aplicar multas. “Muito provavelmente, o que a gente vai ver em violações muito robustas, talvez outros órgãos reguladores possam aplicar punições se valendo de outras legislações, como o Código de Defesa do Consumidor ou o Marco Civil da Internet”, explica Bioni.
Outro desdobramento possível é o de órgãos ligados ao Sistema Nacional de Defesa do Consumidor, como os Procons, processarem a organização responsável pelo vazamento em nome dos direitos coletivos e difusos.
Ele também lembra que o decreto de regulamentação do Marco Civil da Internet, de 2016, “disciplina minimamente essas questões de segurança da informação e atinge uma gama de organizações enorme”.
Apesar de falarmos de punição e incidentes, Bioni ressalta que a segurança de dados é uma janela de oportunidade para as empresas. “Proteger os dados dos cidadãos é uma coisa que volta, é boa para o próprio negócio. Você tem menos dano reputacional e a sua organização vai ser olhada com esse diferencial competitivo. Isso é uma janela de oportunidade para as próprias organizações. Se eu sinto que meu dado não está sendo bem protegido, eu posso mudar para outro que tem um histórico melhor ou práticas melhores.”