Expostos: a falta de proteção e os megavazamentos de dados no Brasil

No fim do ano passado, invasões ao sistema do Ministério da Saúde expuseram dados de 243 milhões de brasileiros na internet. Na primeira, o alvo foi o sistema e-SUS, que notifica casos de Covid-19, expondo dados de 16 milhões de brasileiros. Uma semana mais tarde, outro ataque expôs informações de 243 milhões de cadastrados no SUS.

Cinco meses antes, em junho, o Ministério já havia sido alertado sobre a causa daqueles dois vazamentos: falhas de login e senha.

“Não foi pensado o mínimo de proteção”, pontua a pesquisadora e cientista da computação, Nina Da Hora. Apesar da proteção dos bancos de dados envolver uma infraestrutura cara, avalia, o custo não seria tão alto, dado o tamanho das empresas e instituições envolvidas nesses vazamentos. “O problema é que não há sequer o básico.”

A Zello uma das várias empresas de tecnologia contratadas para desenvolver e cuidar dos portais do Ministério da Saúde, recebeu entre 2017 e 2018 o equivalente a 173 mil reais. Em 2016, o contrato foi maior: de 1,9 milhão de reais, conforme informações do Portal da Transparência. 

Em janeiro deste ano, uma nova ofensiva expôs a vulnerabilidade de sistema da pasta. Desta vez, com ares de escárnio: um hacker invadiu o sistema do Ministério para deixar um ‘recado’: “Este site está um lixo!”. Em fevereiro, outra mensagem (suspeita-se que a mesma pessoa), reiterou o alerta: “o Site continua uma bosta” e ainda “arrumem este site porco”

Reprodução

Eu vejo a maioria das invasões e essas mensagens e penso: “Gente, será que ninguém está prestando atenção nisso? Poxa é vergonhoso. Realmente me pergunto se isso passa por falta de dinheiro ou falta de infraestrutura”, ironiza da Hora.

O maior vazamento de dados do Brasil

Em janeiro deste ano, um outro caso demonstrou os riscos sobre a privacidade no Brasil. 223 milhões de pessoas tiveram seus CPFs expostos em um ataque creditado ao banco de dados da Serasa Experian. A outros 140 milhões de clientes, o estrago foi ainda maior: foram divulgados, além dos números de documento, informações como número de celular, fotos, salário e a pontuação no score de inadimplência da empresa, entre outros detalhes. O caso é considerado o mais grave do tipo já ocorrido no Brasil.

Segundo informações do jornal O Globo, a Polícia Federal detectou pagamentos no exterior ao hacker responsável pelo vazamento. As informações vazadas são vendidas em lotes nos fóruns da deep web e da dark web. Os valores pagos com a moeda virtual bitcoin com valor mínimo de US$ 500 (R$ 2.693,75) e com informações de até 100 pessoas físicas ou jurídicas custaria cerca de US$50 (R$269,90), valor que pode chegar a US$100 (R$538,80).

E a lei?

Para dar conta de punir e cuidar de casos como estes foi criada em 2020, depois de nove anos de discussão, a Lei Geral de Proteção de Dados. Entre as penalidades previstas na lei, nos casos de vazamento há multa de 2% do faturamento da empresa que pode chegar até 50 milhões de reais e também de multa diária. 

à responsabilidade por fiscalizar a aplicação dessas sanções é da Agência Nacional de Proteção de Dados (ANPD). As penalidades, entretanto, só poderão ser aplicadas a partir de agosto deste ano. 

Danilo Doneda, doutor em Direito Civil e especialista indicado para o Conselho Nacional de Proteção de Dados critica a falta de fiscalização. “A dificuldade maior é a falta do órgão de fiscalização. A ANPD está se estruturando e atua ainda de uma forma muito leve, falta realmente alguém que tome conta da lei”, pontua. “É como se fosse uma autoridade que ainda não está funcionando direito.”

Outra controvérsia em torno da ANPD é sua autonomia, uma vez que a altas cúpulas são indicadas pelo governo, e com forte atuação de militares. Essa primeira equipe é chefiada por Waldemar Gonçalves Ortunho Júnior, coronel reformado do Exército e presidente da Telebras. No mundo, apenas China e Rússia têm militares no quadro de equipe desses órgãos, segundo o levantamento da associação Data Privacy Brasil.

A fiscalização mencionada pelo especialista diz respeito também ao uso e pedidos, cada vez mais frequentes, de dados por empresas e órgãos públicos. “Nesses vazamentos, muitas vezes se busca o hacker, a pessoa que está vendendo [as informações]. Sim, esse é um crime, mas o problema raiz disso, é a existência de grandes bancos de dados cuja a origem a gente não sabe qual é”, aponta Danilo Doneda. 

“Prestar atenção só no criminoso é enxugar gelo. Ter grandes bancos de dados é um grande risco e a gente tem que questionar se realmente faz sentido ter esses enormes bancos de dados em mãos de empresas, sem que tenha uma fiscalização maior, uma restrição maior do seu uso”.

Bárbara Simão, coordenadora de privacidade e vigilância do InternetLab, lembra há também as chamadas – data brokers – empresas que vendem e comercializam dados para análise de perfil de consumo, por exemplo. 

“É muito difícil alcançar esse mercado porque muitas vezes essas empresas atuam no limite da legalidade. Não há muita investigação sobre isso. Vendem metodologia de análise de dados ao invés de venderem os dados especificamente” afirma. “Como fiscalizar essas empresas?”

Com o aumento de cadastramento com biometria e reconhecimento facial, utilizados como forma de prevenção a fraudes, essas informações sensíveis tem ficado cada vez mais detalhadas. Com elas em mãos, entretanto, fica cada vez mais fácil de se passar por outra pessoa. Simão é enfática ao afirmar que prevenir fraudes não passa pela quantidade de informação requisitada, mas sim, sobre a segurança dos sistemas.

Por enquanto, quem exerce essa função são organizações de direitos do consumidor, como os Procons, e além de instituições como o Ministério Público Federal. Até o momento, o Serasa não assumiu responsabilidade pelo vazamento de informações. O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação pediu à Justiça em fevereiro uma indenização de 200 milhões à empresa. O processo corre no Tribunal de Justiça de São Paulo.

https://youtu.be/yCtW0oqwTP4