No dia 10 de dezembro, segunda-feira, foi detectado acesso não autorizado a arquivos, senhas e e-mails de nove funcionários da TIVIT. Isso resultou em vazamento de credenciais de acessos privilegiados de dezenas de servidores de clientes da companhia como Brasken, Banco Original, Zurich, Votorantim, Sebrae, SAP, Brookfield Energia, Klabin, entre outras.
Um dos arquivos expostos foi publicado no site Pastebin.com com diversas informações sobre operações internas incluindo rotinas de backup, transferências de arquivos, endereços de servidores, além de usuários e senhas de acessos. Hoje, 11, o arquivo não está mais disponível no site.
A TIVIT enviou um comunicado oficial informando que detectou acesso não autorizado a arquivos, que não houve nenhum tipo de invasão aos data centers da empresa e a equipe de Segurança da Informação está conduzindo uma investigação detalhada. Aos clientes, a empresa enviou o seguinte comunicado:
“Caro Cliente: Importante informar que hoje 10/12/2018 detectamos acesso não autorizado a arquivos, senhas e e-mails de nove funcionários da TIVIT. Já identificamos a origem do problema e a equipe de Segurança da Informação da TIVIT está conduzindo uma investigação detalhada. As investigações conduzidas até o momento indicam que não ocorreu nenhum tipo de invasão aos nossos data centers, ou ainda às redes de acesso da TIVIT ou de nossos clientes. Nossa equipe permanece monitorando qualquer desdobramento sobre o tema e manteremos você informado com relação a qualquer novidade. Nos colocamos à disposição para qualquer esclarecimento adicional. Carlos Gazaffi, presidente da TIVIT”
Mercado em alerta
O caso gerou repercussão nas redes sociais entre executivos e especialistas da comunidade de Segurança da Informação, principalmente no sentido de destacar a importância das empresas no Brasil reportarem os incidentes de segurança. Além de um plano de resposta a vazamento que inclua uma política de gestão de crise com uma estratégia de comunicação aos clientes e ao mercado.
O Banco Original, cliente da TIVIT e que teve as credenciais de acesso expostas no arquivo vazado, enviou um comunicado à Security Report informando que não houve nenhum dano interno. “O Banco Original esclarece que não houve qualquer vazamento de dados de seus clientes.”
Legislação
Sob os olhos da Lei Geral de Proteção de Dados (LGPD) – Lei nº. 13.709/2018, em casos como esse, não somente os controladores, mas também os operadores que prestam serviços, no caso, a TIVIT, devem adotar todas as medidas de segurança técnica e administrativa para tratar um acesso não autorizado. Caso seja comprovado que houve algum vazamento de dado de cliente, o passo seguinte é avaliar a responsabilidade do operador e também do controlador do dado.
Segundo Rony Vainzof, advogado especialista em Direito Digital e Sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, governança, segurança e boas práticas são pilares para uma estratégia de proteção de dados. “Não estamos falando só de tecnologia, mas de processos e pessoas. São práticas muito importante dentro das empresas, lidar com esse cenário sob a ótica da cultura corporativa e conscientização da relevância do tema para que se demonstre a qualquer pessoa que tenha acesso a essas credenciais o risco que pode causar em uma eventual exposição.”
Vainzof afirma que a maioria das empresas no Brasil já está se movimentando para estar em conformidade com a Lei, que entrará em vigor em 16/02/2020 e representará importantes mudanças para a sociedade. Trata-se de um projeto de avaliação de governança corporativa que envolve um dos mais famosos tripés: processos, pessoas e tecnologia.
