Segurança Cibernética

Falhas e vazamentos: empresas precisam acordar para privacidade | Avast

Lisandro Carmona de Souza, 20 Novembro 2019

Os vazamentos de dados pessoais de vários sites e serviços colocam à prova os reais investimentos das empresas na proteção da sua privacidade

Já começaram as tentativas de adiar a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Os recentes casos de invasão e vazamentos de dados pessoais deveriam servir como alerta para as empresas que deveriam estar investindo na proteção dos seus sistemas antes que pesadas multas – de até 2% do faturamento ou R$ 50 milhões – atinjam seus lucros.

Os casos se repetem um após o outro: nossos dados precisam ser levados a sério. Os pesquisadores são "hackers do bem" que varrem os sites e sistemas das maiores empresas brasileiras para detectar falhas causadas por inexperiência ou incompetência. Especialistas preveem que golpes (phishing) e fraudes usando os dados vazados podem aparecer nos próximos meses e recomendam que você se proteja com autenticação de 2 fatores em suas contas.

Unimed

Pesquisadores do WhiteHat Brasil revelaram que uma falha nos sistemas da Unimed expôs os dados pessoais (nome completo, CPF, nome da mãe, código do beneficiário, e-mail e dependentes), o histórico médico completo (exames e imagens de raio-X, por exemplo) e dados de login e contato de médicos de quatro cidades: Teresina (PI), Parnaíba (PI), Imperatriz (MA) e São Leopoldo (RS).

Cada unidade da cooperativa tem autonomia para adotar sistemas e medidas de segurança, e a falha não afetaria as outras unidades.

Claro (8 milhões)

A mesma equipe de pesquisadores revelou ao Olhar Digital que a Claro expôs dados pessoais como nome, endereço, data de nascimento, CPF, e-mail e números de telefone estavam abertos ao público através de uma falha no portal “Minha Claro Residencial”.

Gestão Inteligente da Nota Fiscal de Serviço Eletrônica

Falha na plataforma Ginfes expôs dados de todos os brasileiros que emitiram ou receberam alguma NFS-e em 60 municípios dos Estados de São Paulo, Rio de Janeiro, Amazonas, Alagoas, Rio Grande do Sul e Minas Gerais.

Denúncia anônima ao Olhar Digital mostrou a possibilidade de acesso aos documentos e dados do prestador e do tomador de serviços por falta de criptografia das informações do site: alterando o URL pode-se obter o nome completo, endereço, e-mail, CPF/CNPJ, descrição e valor do serviço.

Vivo (24 milhões)

Dados pessoais de até 24 milhões de clientes do portal Meu Vivo estiveram expostos: nome completo, nome da mãe, gênero, endereço completo, data de nascimento, RG, CPF, e-mail e celular. Segundo os pesquisadores do WhiteHat Brasil, a falha elementar de segurança fazia com que qualquer token (sequência de números para liberar o acesso ao portal) pudesse acessar o perfil de qualquer cliente!

O Procon-SP deu 15 dias de prazo para que a empresa preste esclarecimentos e informe das medidas de segurança que adotou. A Vivo (Telefonica) poderá ser multada em até R$ 10 milhões segundo o Código de Defesa do Consumidor (CDC).

Tim

Em setembro, a TIM também deixou vazar dados pessoais e negociações de dívidas do portal TIM Negocia. A Secretaria Nacional do Consumidor (Senacon), do Ministério da Justiça e Segurança Pública instaurou processo administrativo para apurar a acusação.

Detran (70 milhões)

O mesmo grupo de pesquisadores informou que o Detran do Rio Grande do Norte deixou vazar dados pessoais de 70 milhões de brasileiros com Carteira Nacional de Habilitação (CNH), isto é, quase todos os que são condutores: CPF, endereço residencial completo, telefones, CNH, foto, RG, data de nascimento, sexo e data de nascimento.

ProAc (28 mil)

Uma falha no sistema do ProAC (Programa de Incentivo à Cultura) expôs imagens do RG, CPF e comprovante de endereço de 28 mil pessoas que procuraram por apoio financeiro. Tudo por não usar o protocolo HTTPS, o que permitia acessar os dados que eram armazenados de forma sequencial e previsível, segundo informou o UOL.

500437Documentos podem ser obtidos com facilidade online. Foto: Tudo Celular

E não é só no Brasil... Disney+

getty_1163406330_407105Algumas das vítimas tiveram o seu acesso ao serviço de streaming interrompido. Foto:  Inc

Acabou de ser lançado o serviço de streaming da Disney – conquistando mais de 10 milhões de assinaturas a 7 dólares por mês nas primeiras 24 horas em que esteve disponível nos Estados Unidos, Canadá e Holanda – e já apareceram indícios de que os dados de milhares de contas podem ser comprados na dark web* por apenas 3 dólares.

É especialmente preocupante o hábito de as pessoas utilizarem o mesmo login (e-mail) e senha em vários sites. Especialistas especulam que as senhas podem ter sido roubadas por um keylogger ou malware e que as vítimas não tinham seus equipamentos protegidos por um antivírus robusto. Uma vez que você não pode remover dispositivos da conta da Disney+, se alguém roubar sua conta e acessá-la em dispositivos suficientes para atingir o limite, você não pode fazer mais nada.

Um sistema de autenticação de 2 fatores teria reduzido os prejuízos. De qualquer forma, use uma senha exclusiva, longa e difícil para sua conta Disney+.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

pan xiaozhen