No dia internacional da privacidade e da proteção de dados, que acontece hoje, 28, mais um caso de vazamento de dados envolveu empresas como Cielo, Americanas, Submarino, Vivo, Senado Federal, STF e MP-SP. O hacker “sup3rm4n”, do grupo FatalErrorSec, divulgou os incidentes nos sites Pastebin.com (PDF) e PrivateBin.net (link ainda disponível), e declarou que, em datas distintas, testou a segurança dos servidores de várias empresas.
No vazamento, ele diz que Cielo e Americanas “estão de parabéns”, pois resolveram as brechas assim que perceberam o incidente, 20 minutos após a invasão. Já o Submarino também teve sua segurança elogiada pelo hacker, mas ele não perdeu a oportunidade para dar um recado, que levaram quase dois dias para perceber a invasão.
Outras empresas levaram mais de uma semana sem perceber as vulnerabilidades. Ele termina o post dizendo que algumas brechas ainda se encontram vulneráveis, enquanto outras já foram corrigidas. O arquivo postado contém informações dos ambientes e servidores internos das empresas. Não se sabe se foram supostamente invadidas ou se algum prestador de serviço tinha acesso e vazou as informações confidenciais.
O MP-SP entrou em contato com a Security Report e informou que “em nenhum momento houve vazamento de dados, pois trata-se de um teste de vulnerabilidade em um servidor do órgão que foi desativado em 2017. As informações sensíveis do MP-SP seguem protegidas”. O MP-SP diz também que investe constantemente em prevenção e segurança das informações, além disso, criou um comitê de cibercrime para acompanhar as vulnerabilidades digitais.
A Cielo também se pronunciou dizendo que uma vez identificado o acesso, imediatamente adotou os procedimentos de segurança.
“A respeito do assunto em questão, a Cielo esclarece que identificou, por meio de monitoramentos internos, o acesso indevido ao servidor da companhia. Imediatamente adotou os procedimentos de segurança, com o objetivo de não gerar nenhum contratempo em nossos sistemas os quais, eventualmente, pudessem afetar a qualidade da nossa prestação de serviço.”
Já a Vivo informou que o servidor não é da empresa e que não houve nenhum vazamento de dados dos clientes.
“O servidor mencionado pela reportagem não é da Vivo e não houve nenhum vazamento de dado de seus clientes. A Telefônica revisa constantemente as suas políticas e procedimentos de segurança, na busca permanente pelos mais rígidos controles nos acessos aos dados dos seus consumidores, e no combate à práticas que possam ameaçar a sua privacidade.”
Americanas e Submarino também se posicionaram:
“A Americanas.com esclarece que identificou rapidamente a questão por meio de monitoramentos internos e realizou as devidas melhorias. A marca investe continuamente em tecnologias e ferramentas de segurança da informação.”
“O Submarino informa que identificou a questão por meio de monitoramentos internos e realizou as devidas melhorias. A marca investe continuamente em tecnologias e ferramentas de segurança da informação.”
A ocorrência vem de encontro à iniciativa do Dia Internacional da Privacidade de Dados, criada pelo Conselho da Europa (CNIL) em 2006 e que foi impulsionado pela NCSA (National Cyber Security Alliance) nos Estados Unidos e em toda América do Norte. O objetivo do dia é aumentar a conscientização sobre proteção de dados em todo o mundo.
GDPR, LGPD e ANPD
A implementação da GDPR, na União Europeia, trouxe consigo uma quebra de paradigma. Atualmente, grande parte dos cidadãos europeus estão preocupados com aplicações móveis e os dados que podem ser coletados sem consentimento. Além disso, é cada vez maior o interesse da sociedade em ter controle e acompanhar o movimento de seus dados.
No Brasil, prevista para entrar em vigor em agosto de 2020 (conforme alteração dada pela MP 869/2018), a Lei Geral de Proteção de Dados definirá um marco para que empresas sejam responsabilizadas financeiramente em casos de vazamento de dados e uso indevido, assim como aconteceu na União Europeia – e, mais recentemente, com a multa de 50 milhões de euros aplicada ao Google.
A partir da implementação da LGPD, empresas de pequeno, médio e grande portes terão que investir em cibersegurança e implementar sistemas de conformidade para prevenir, detectar e remediar violações, uma vez que a lei irá considerar essas ferramentas como critério atenuante na aplicação das penas.
Outro ponto importante, dado pela MP 869/2018, será a criação da ANPD, a Autoridade Nacional de Proteção de Dados, que será responsável pela fiscalização, conscientização e outros afazeres. A autoridade ainda deve ter suas funções, orçamento e autonomia discutidos, segundo especialistas, uma vez que a Medida Provisória deve passar pelo Congresso Nacional antes de ser enviada para sanção presidencial.
A interface entre as empresas e a ANPD deverá ser realizada pelo DPO (Data Protection Officer), encarregado de monitorar e disseminar as boas práticas na proteção de dados pessoais, perante funcionários e outros colaboradores contratados no âmbito empresarial.
Além de contar com um profissional dedicado, a proteção de dados deverá fazer parte do cotidiano de companhias ao redor do mundo. O Facebook, por exemplo, aproveitou a data para lançar em sua plataforma uma notificação aos usuários para verificação de privacidade. A medida serve para que as pessoas que usam a rede social possam conferir se suas informações estão sendo compartilhadas adequadamente.
Planos de ação para entrar em conformidade com a LGPD já permeiam discussões entre C-levels de Segurança, e apontam para uma maior movimentação no setor em relação à implementação da legislação. Executivos têm trabalhado para desengavetar projetos de cibersegurança que eram muito caros, mas que poderão render economia a longo prazo, por exemplo.
