Dicas

O guia de sobrevivência ao vazamento de dados na internet

Charlotte Empey, 18 Setembro 2018

Tudo que você precisa fazer caso se envolva em um vazamento de dados.

No ano passado, você fez alguma compra online na Macy’s, Sears, Kmart ou Adidas? Em alguma loja física da Lord & Taylor, Forever 21 ou Saks Fifth Avenue? Comeu na Panera Bread ou Whole Foods? Comprou artigos eletrônicos na Gamestop ou Best Buy? Passagens aéreas da Delta? Fez transações em moedas virtuais usando o Atlas Quantum, uma plataforma de moedas digitais?

Cada uma dessas empresas sofreu um vazamento de dados no ano passado e essa é apenas uma lista parcial. Além das vítimas afetadas por todas essas violações, o famoso vazamento da Equifax colocou as informações de 143 milhões de pessoas em risco, e o vazamento da Exactis afetou incríveis 340 milhões. O quê? Não ouviu falar da Exactis? Você não é o único.

O vazamento da Exactis demonstra exatamente um grande problema com essas violações de dados que perderam o freio. Nós precisamos nos preocupar não só com cada empresa com que nos relacionamos, mas também conhecer todos as que agregam dados, como a Exactis. A única finalidade dessas agregadoras é coletar (legalmente) o máximo possível de dados das pessoas e depois vender essas informações a empresas, tudo dentro da lei. A coleta, compra e venda de dados movimentam muito dinheiro. O mundo do comércio eletrônico quer conhecer seus hábitos, gostos e desejos, além das suas finanças, informações de contato e seus amigos. Empresas como a Exactis coletam esses dados. Quando cibercriminosos se infiltram nesse tipo de banco de dados, eles chegam nesse filão.

O que é um vazamento de dados?

Um vazamento de dados é quando ocorre uma infiltração em informações protegidas. É bem simples. Um vazamento é uma abertura que não deveria existir, um buraco no casco de um barco, uma fenda em uma muralha ou uma falha que pode ser explorada na segurança online, para dar alguns exemplos. Um vazamento de dados ocorre quando essa abertura ilegal conduz a informações online sigilosas.

Que tipo de informações são comprometidas em um vazamento de dados?

Isso depende da infraestrutura da empresa que sofre o vazamento e da natureza desse vazamento, mas pode chegar a tudo que que você compartilhou com a empresa em questão, que pode incluir:

  • Nome do usuário
  • Endereço de email
  • Senha
  • Endereço
  • Números de telefone
  • Data de nascimento
  • Informações da carteira de habilitação
  • Número do cartão de crédito
  • Histórico de compras
  • Dados de contas bancárias
  • CPF

Vazamento de dados da Equifax

Como sei se meus dados foram violados?

Boa pergunta. Se alguma informação sigilosa sua for comprometida, com sorte, a empresa que sofreu o vazamento vai alertar você imediatamente, relatando quando ocorreu o vazamento e quais dados foram expostos. Mas, a história mostra que isso nem sempre acontece. A Equifax, por exemplo, ocultou a notícia por alguns meses antes de alertar sua base de clientes. Seja por vergonha, controle discreto de danos ou apenas por mau gerenciamento, algumas empresas que sofrem violação também esperaram antes de anunciar o que tinha acontecido. Essa prática é inaceitável, pois os consumidores têm o direito de saber quando alguém não autorizado teve acesso às suas informações. Clique nesses links para ver se alguma de suas contas de email estiveram envolvidas em um vazamento e se alguma das suas senhas foram expostas.

have-i-been-pwned

Como você não pode saber aquilo que desconhece, é bom ficar vigilante em seu mundo digital. Vamos continuar a relatar grandes violações de dados aqui no blog, mas você deve observar com atenção suas finanças e contas, para garantir que tudo esteja se comportando de maneira normal. Questione se algo parecer suspeito. Se tudo parecer bem, não significa que seus dados não foram violados. Apenas que eles ainda não foram usados.

A GDPR e os vazamentos de dados

A Regulação Geral de Proteção de Dados é um novo código de lei na União Europeia (UE) que foca na privacidade e segurança digital. Ela entrou em vigor na metade de 2018 e se aplica a toda e qualquer empresa que mantém dados digitais de cidadãos da UE, independentemente de onde esteja localizada a empresa. Ela protege os consumidores obrigando que essas empresas mantenham certos padrões de alta segurança e divulguem qualquer informação de violação em até 72 horas após a descoberta. A empresa que quebrar essas regras será multada em até 4% de sua receita anual ou 20 milhões de libras, aquele que for o maior valor.

No Brasil, também entrou em vigor a Lei Geral de Proteção de Dados (LGPD) e as empresas que processam dados de brasileiros ou no Brasil terão 18 meses para se adaptar.

Avast-GDPR-3

Muitas empresas reclamaram, pois os novos regulamentos exigem a atualização das suas redes. Mas o investimento financeiro em uma melhor segurança beneficiará a todos, tanto as empresas quanto seus clientes. As novas medidas de segurança devem ajudar a limitar o número cada vez maior de vazamentos de dados no mundo e a transparência da divulgação pública em até 72 horas após o vazamento deve reduzir um pouco os possíveis danos, ao permitir que as vítimas ajam rapidamente.

O que os cibercriminosos podem fazer com os dados roubados?

Os cibercriminosos frequentemente vendem as informações a outros cibercriminosos e também exploram as informações para:

  • Sacar dinheiro das contas bancárias
  • Enviar emails em seu nome
  • Assinar serviços e gastar o seu dinheiro
  • Conseguir novos cartões de crédito e acumular dívidas comprando itens caros
  • Arruinar o seu crédito e manchar o seu CPF
  • Bagunçar seus arquivos tributários
  • Bloquear suas contas (bancárias ou nas redes sociais)
  • ... e muito mais

E se eu me tornar vítima de um vazamento de dados?

As empresas listadas no começo deste artigo enfrentaram violação de dados em 2017 e 2018 e, se você foi um dos seus clientes, alguém com intenções nada nobres pode ter seu nome de usuário, senha, CPF, números de cartão de crédito, nome, data de nascimento e tudo mais que você compartilhou direta e indiretamente com essas empresas. Se suas informações pessoais forem comprometidas, use esta lista de verificação de resposta a violações de dados para restaurar a ordem e a sanidade à sua vida:

1. Determine quais informações foram violadas

O atalho a essa resposta é saber exatamente o que aconteceu com a empresa que sofreu o vazamento. Se eles não fornecerem informações, faça sua própria avaliação de tudo que você compartilhou com essa empresa e, por segurança, suponha que tudo foi comprometido.

2. Troque todas as senhas

Crie senhas novas e fortes e evite reutilizar qualquer uma delas. Use uma frase única para cada login de conta e faça com que ela seja a mais inviolável possível, use um gerenciador de senhas (o Avast Passwords é excelente). Um gerenciador de senhas não só gera senhas complexas, como também se lembrará de todas elas para você. Recomendamos também usar a autenticação de 2 fatores sempre que possível e dar uma olhada nas dicas para criar senhas fortes ao configurar novas contas.

3. Cuidado com os links em emails ou mensagens de texto. Os cibercriminosos usam táticas de phishing

Se você receber algum email ou mensagem de texto que diz estar relacionado a um vazamento e fornece um link para clicar ou arquivo para baixar, cuidado! Não clique! Ataques de phishing assim são frequentes, com cibercriminosos tentando se aproveitar da confusão. Em vez de cair nessa, ligue para a empresa para confirmar se o email ou mensagem de texto é realmente deles.

4. Em caso de roubo de cartão de crédito/débito, entre em contato com o banco

Se os seus números de cartão de crédito ou débito foram roubados, entre em contato com seu banco para cancelar o cartão e receber um novo. Troque também seu código ou senha. Fique atento aos extratos mensais e procure por cobranças, compras ou saques estranhos até que o número do cartão roubado seja efetivamente cancelado.

5. Em caso de roubo de carteira de habilitação/identidade pessoal, faça um boletim de ocorrência

Sempre que houver a perda ou roubo de um documento pessoal, faça imediatamente um boletim de ocorrência na delegacia mais próxima. Em alguns Estados, pode-se fazer pela internet.

6. Use um antivírus

Para se proteger contra spam maligno, links infectados e qualquer tipo de malware, instale um antivírus. Se algum invasor tentar passar por suas defesas, o antivírus o impedirá antes que possa causar algum dano. Baixe o Avast Free Antivirus para ter uma defesa forte que só deixa o que é bom passar.

Baixe o Avast Free Antivírus