O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança (CERT.br) do Núcleo de Informação e Coordenação do Ponto BR (NIC.br) – que é o braço executivo do Comitê Gestor da Internet no Brasil (CGI.br) – se encarrega, desde 1997, de tratar incidentes de segurança envolvendo redes conectadas à internet neste país. Com a colaboração da Autoridade Nacional de Proteção de Dados (ANPD), publicou o Guia Vazamento de Dados, com o propósito de orientar a sociedade acerca dos potenciais riscos no tratamento de dados em ambiente digital.
O guia inicia informando que vazamentos ocorrem quando dados são indevidamente acessados, coletados e divulgados na internet, ou repassados a terceiros, e que podem ser originados a partir:
1. do furto de dados por atacantes e códigos maliciosos que exploram vulnerabilidades em sistemas;
2. do acesso a contas de usuários, por meio de senhas fracas ou vazadas;
3. da ação de funcionários ou ex-funcionários que coletam dados dos sistemas da empresa e os repassam a terceiros;
4. do furto de equipamentos que contenham dados sigilosos; e
5. de erros ou negligência de funcionários, com o descartar mídias (discos e pen drives) sem os devidos cuidados.
Deve ser dada uma atenção especial aos seguintes dados:
1. credenciais de acesso, como nomes de usuário e senhas;
2. informações financeiras, como números de contas bancárias e de cartões de crédito;
3. documentos, como CPF, RG e carteira de habilitação;
4. informações de contato, como endereços e números de telefone;
5. registros de saúde, como resultados de exames e prontuários médicos; e
6. outros dados, como data de nascimento e nomes de familiares.
Caso o vazamento ocorra, o guia também enumera os riscos principais a que os titulares de dados vazados podem estar sujeitos:
FURTO DE IDENTIDADE E INVASÃO DE CONTAS ONLINE
a. Abertura de contas em seu nome;
b. Tentativas de adivinhação de senhas ou para responder perguntas de segurança; e
c. Uso de senhas vazadas para invadir outros serviços onde a mesma senha é usada, se eles não tiverem ativado algum mecanismo de segurança adicional como: (i) verificação em duas etapas, ou (ii) autorização prévia de dispositivos.
FURTO DE IDENTIDADE LEVANDO A PREJUÍZOS FINANCEIROS
a. Criação de cartões de crédito, contas bancárias e empréstimos, levando a dívidas ou transações ilícitas em seu nome;
b. Movimentações financeiras indevidas em suas contas bancárias ou cartões de crédito; e
c. Transferência de bens móveis ou imóveis.
VIOLAÇÃO DE PRIVACIDADE
a. Informações privadas, como dados médicos ou conversas particulares, podem ficar expostas na internet;
TENTATIVAS DE GOLPES
a. Extorsão, onde o atacante faz chantagem para não expor os seus dados;
b. Quanto mais informações um atacante tiver, mais convincente ele será, e mais facilmente enganará outras pessoas; e
c. Os dados vazados podem ser usados, por exemplo: (i) em tentativas de phishing direcionado e personalizado (spear phishing), (ii) para convencê-lo a revelar mais informações, (iii) para induzi-lo a efetivar transações e (iv) para se passar por você.
A despeito de todas as informações muito interessantes contidas no referido guia, o que todos se perguntam diante de um vazamento de dados é o que fazer. Nesse sentido, o guia traz o seguinte roteiro, iniciando pela tentativa de obter-se as informações descritas a seguir e solicitando que o titular de dados não acesse sites ou abra arquivos que possam confirmar ou exibir os dados do vazamento:
1. quais dados vazaram (isso ajuda a saber quais medidas tomar);
2. quais medidas de mitigação foram ou serão tomadas pela organização;
3. quais medidas devem ser tomadas por você;
4. as datas do potencial vazamento; e
5. comunicados e notícias a respeito
Dessa forma, de acordo com o tipo de vazamento, são fornecidas orientações de como remediar a situação:
CREDENCIAIS DE ACESSO VAZADAS
a. troque imediatamente as senhas expostas;
b. ative a verificação em duas etapas nas contas que ofereçam esse recurso, caso ainda não tenha feito; e
c. use os mecanismos disponíveis para analisar os registros de acesso e denunciar tentativas / acessos indevidos.
CARTÕES DE CRÉDITO OU DÉBITO VAZADOS
a. informe as instituições emissoras dos cartões;
b. revise o extrato dos seus cartões e da sua conta bancária; e
c. conteste os eventuais lançamentos irregulares que identificar, via os canais oficiais das respectivas instituições.
A seguir, o guia lista boas práticas que devem ser observadas por todos:
1. ative alertas e monitore o extrato dos seus cartões e da sua conta bancária. Preste atenção a movimentações “estranhas”;
2. acompanhe outros registros financeiros, por meio de serviços específicos, como o oferecido pelo Banco Central (Serviço “Registrato”);
3. verifique no “Cadastro Pré”, mantido por empresas do Setor de Telecomunicações, se alguma linha pré-paga de celular foi ativada usando seu CPF;
4. nunca forneça códigos de verificação a terceiros;
5. ative notificações e monitore tentativas de login, de recuperação ou troca de senhas;
6. se constatar que alguma conta foi invadida ou criaram um perfil em seu nome: (i) efetue os procedimentos disponíveis nas plataformas para recuperação do acesso ou denúncia do perfil falso e (ii) informe seus contatos para que não caiam em golpes;
7. não clique em links recebidos por e-mail ou mensagens de texto, mesmo que pareçam enviados por alguém que você conhece (pode ser um spear phishing); e
8. não efetive transações financeiras sem antes confirmar a identidade das partes envolvidas.
Caso ocorra o vazamento de dados, é muito importante saber a quem recorrer, e o guia cita três importantes partes que devem ser contatadas, conforme o caso:
1. Instituições financeiras, se envolver algum aspecto financeiro
2. A autoridade policial, sendo registrado um boletim de ocorrência
3. A Autoridade Nacional de Proteção de Dados (ANPD)
Com respeito ao relato, o titular de dados afetado deve informar (i) quais os dados vazados, (ii) quando teve ciência do vazamento, (iii) se acredita que seus dados pessoais foram indevidamente usados em alguma ação criminosa (como estelionato, fraude ou comércio ilegal de dados pessoais) e (iv) quais evidências possui para corroborar essa hipótese.
Finalmente, o guia termina com conselhos de como se proteger com respeito a:
CADASTROS E SITES
1. Ao preencher cadastros questione-se sobre a real necessidade de fornecer todos os dados e da instituição retê-los;
2. Leia as políticas de privacidade dos serviços que usa;
3. Ao acessar sites, procure limitar a coleta de dados por cookies. Preferencialmente, autorize somente aqueles essenciais ao funcionamento da sessão e limpe frequentemente o histórico de navegação; e
4. Use conexões seguras para evitar que seus dados sejam interceptados e coletados.
LINKS E APLICATIVOS
1. Desconfie de links recebidos via mensagens eletrônicas, mesmo que vindos de pessoas conhecidas (podem ter sido enviadas de perfis falsos ou invadidos);
2. Observe as configurações de privacidade de seus equipamentos e dos softwares instalados. Limite quais aplicativos podem acessar o microfone, a câmera, seus contatos e sua localização; e
3. Apague os aplicativos que você não usa mais.
CONTAS E SENHAS
1. Crie senhas fortes, não repita senhas e, se possível, habilite a verificação em duas etapas; e
2. Habilite, quando disponíveis, notificações de login, para ser mais fácil perceber se outras pessoas estiverem usando suas contas.
ARQUIVOS E EQUIPAMENTOS
1. Mantenha seus equipamentos seguros, com o sistema e os aplicativos atualizados e utilize mecanismos de segurança;
2. Verifique no monitor de atividades de seu equipamento a lista de programas em execução e desconfie de processos “estranhos”;
3. Evite colocar na nuvem arquivos contendo dados pessoais que considere confidenciais, como fotos e cópias de documentos; e
4. Use criptografia, sempre que possível, para proteger os dados armazenados em seus equipamentos.
Esse guia complementa um rol de iniciativas conjuntas da ANPD com o propósito de educar a sociedade e conscientizar a população acerca da importância dos seus dados pessoais.