O Partido Socialista Brasileiro (PSB), da candidata à Prefeitura de São Paulo, Tabata Amaral, apresentou uma representação formal contra o adversário Pablo Marçal, do PRTB, acusando-o de violar a Lei Geral de Proteção de Dados (LGPD) durante sua campanha eleitoral. Segundo a denúncia, Marçal teria utilizado dados pessoais de eleitores, coletados em suas atividades comerciais, para realizar disparos em massa de e-mails sem o consentimento dos titulares. A acusação sugere um claro desrespeito à legislação de proteção de dados e às normas eleitorais vigentes.
No debate transmitido pela TV Gazeta e pelo portal MyNews, Tabata mencionou a infração, ressaltando que o uso indevido de informações pessoais em campanhas políticas não só viola a privacidade dos eleitores, mas também compromete a integridade do processo eleitoral. A representação detalha que Marçal, conhecido por sua atuação no ambiente digital, teria empregado essa expertise de maneira irregular para impulsionar sua candidatura, mesmo após ter perfis em redes sociais suspensos por ordem judicial.
A utilização de dados pessoais para fins eleitorais, sem o devido consentimento, é uma prática que confronta diretamente os princípios da LGPD, que exige o respeito aos direitos dos titulares e a transparência no tratamento dessas informações. Ao ser questionada sobre o caso, a equipe de Pablo Marçal não se manifestou.
Esse caso destaca a urgência de uma fiscalização mais rigorosa sobre o uso de dados pessoais em campanhas eleitorais, sublinhando a importância de aplicar sanções severas a quem descumpre as normas estabelecidas pela LGPD. A proteção de informações pessoais se torna ainda mais crucial em cenários como o eleitoral, onde a privacidade e a transparência são fundamentais para garantir a integridade do processo democrático.
Em agosto, uma das principais notícias de cibersegurança nos Estados Unidos destacou um vazamento massivo de 2,7 bilhões de números de segurança social, equivalente ao CPF no Brasil, reivindicado por um grupo cibercriminoso chamado USDoD. Conhecido por ataques globais a empresas, esse grupo agora está no centro de uma investigação que aponta um possível líder, supostamente residente no Brasil. Segundo um relatório da empresa de segurança CrowdStrike, o indivíduo em questão teria um histórico de hackativismo e envolvimento com crimes cibernéticos complexos.
O grupo USDoD emergiu nos últimos meses, sendo associado a invasões de várias organizações, incluindo grandes empresas de tecnologia e agências governamentais. Além de comprometer dados de funcionários e clientes de entidades como a Airbus e a TransUnion, o grupo também afirmou ter acesso a informações de empresas de defesa dos Estados Unidos. No ataque mais recente, um conjunto de dados de 277 GB foi roubado de uma empresa norte-americana, totalizando quase 3 bilhões de registros pessoais, oferecidos posteriormente à venda por milhões de dólares.
A investigação da CrowdStrike revelou que o líder do grupo USDoD tem um passado que combina atividades hacktivistas e cibercriminosas, com envolvimento em fóruns especializados desde 2017. A conexão foi feita por meio de um conjunto de informações digitais rastreadas ao longo de anos, como emails usados para registrar domínios e contas em redes sociais. Essa atividade tornou a identificação do suspeito mais acessível, especialmente devido ao uso recorrente de ferramentas e perfis com descrições semelhantes.
O relatório ainda destaca a vaidade comum entre cibercriminosos que atacam grandes corporações. Esse traço ficou evidente nas declarações feitas pelo líder do USDoD em entrevistas para veículos especializados em crimes cibernéticos, o que acabou contribuindo para sua exposição. O grupo, assim como outros de destaque, utilizou técnicas de ransomware para sequestrar dados sensíveis e extorquir vítimas, seja por meio da venda ou da ameaça de divulgação pública.
Embora a CrowdStrike tenha entregue as informações coletadas às autoridades competentes, a empresa avalia que a revelação da identidade do líder pode não ser suficiente para deter suas atividades. O desejo por reconhecimento em comunidades hacktivistas e cibercriminosas parece ser uma motivação constante, e as negações ou tentativas de desviar a atenção são estratégias já previstas por especialistas da área.
A importância de uma abordagem integrada de cibersegurança é evidente, com as empresas precisando estar preparadas para lidar não apenas com os aspectos técnicos dos ataques, mas também com a complexidade das motivações humanas por trás desses crimes. Em um cenário cada vez mais conectado, a proteção de dados e a resposta rápida a incidentes são essenciais para mitigar os danos causados por grupos como o USDoD.
O serviço de compartilhamento de veículos Uber enfrenta uma nova penalização significativa imposta pelo órgão regulador de privacidade da Holanda, a Autoridade de Proteção de Dados (AP), no valor de € 290 milhões. A multa foi aplicada devido à transferência de dados pessoais de motoristas para a sede da empresa nos Estados Unidos, em contravenção às rigorosas normas de proteção de dados da União Europeia (GDPR). A ação foi iniciada por um grupo francês de direitos humanos, representando 170 motoristas, e julgada na Holanda devido à localização da sede europeia da Uber, em Amsterdã.
Este incidente marca a maior sanção já aplicada pela AP, que tem o poder de multar empresas em até 4% de sua receita anual global. A Uber, que registrou um faturamento global de € 34,5 bilhões no último ano, já anunciou que pretende recorrer da decisão. A AP destacou que a empresa cometeu uma “violação grave” das normas ao compartilhar informações confidenciais, como fotografias, dados bancários, antecedentes criminais e, em alguns casos, históricos médicos dos motoristas.
Embora a Uber tenha utilizado a estrutura do escudo de privacidade UE-EUA para essa transferência de dados, o Tribunal de Justiça Europeu invalidou esse acordo em 2020, afirmando que ele não oferecia proteção adequada contra a vigilância governamental aos cidadãos da UE.
Esta não é a primeira vez que a Uber é sancionada pelo regulador holandês. Em 2018, a empresa foi multada em € 600.000, e em janeiro deste ano, recebeu outra multa de € 10 milhões por práticas relacionadas à privacidade, incluindo a dificuldade desnecessária imposta aos motoristas para acessarem suas próprias informações.
A proteção de dados na Europa, regulamentada pelo GDPR, é um direito fundamental que impõe às empresas e governos a responsabilidade de tratar dados pessoais com rigor. No entanto, fora da Europa, a realidade é diferente, com governos frequentemente acessando dados em larga escala sem as mesmas salvaguardas. Este caso destaca a importância da conformidade global com as normas de privacidade, especialmente em um cenário onde a proteção dos dados pessoais se tornou uma questão central na relação entre empresas e seus usuários.
A denúncia recente recebida pela “Iniciativa CpC: Cidadãos pela Cibersegurança” sobre a aplicação móvel TEMU levanta preocupações significativas em relação à proteção de dados, privacidade digital e à eficácia dos mecanismos regulatórios vigentes.
As práticas relatadas no caso chamam a atenção pela possibilidade de uma aplicação móvel acessar, processar e utilizar dados pessoais de maneira que pode ser considerada invasiva, sem que o usuário tenha um conhecimento claro ou tenha dado consentimento explícito. Este tipo de comportamento pode ser interpretado como uma contravenção ao Regulamento Geral sobre a Proteção de Dados (RGPD) e pode comprometer a confiança dos consumidores nas plataformas digitais, que têm o dever de resguardar a segurança e a privacidade dos seus usuários.
A resposta da Comissão Nacional de Proteção de Dados (CNPD) também merece análise. Ao direcionar o reclamante para a própria empresa acusada de violação de privacidade, a CNPD pode estar deixando de cumprir plenamente sua função de defesa dos direitos dos cidadãos. Tal postura sugere a necessidade de uma revisão dos mecanismos de proteção de dados, especialmente em um cenário digital cada vez mais complexo e globalizado.
O caso expõe dois problemas centrais: o primeiro, relacionado às empresas que podem estar se aproveitando de lacunas na regulamentação para explorar dados dos usuários de maneira inadequada; e o segundo, à estrutura regulatória que, por vezes, não oferece a proteção esperada, deixando os cidadãos em uma posição vulnerável frente a empresas que atuam em diversas jurisdições.
Esses desafios apontam para a necessidade de uma revisão das políticas de proteção de dados e de uma cooperação mais efetiva entre os países da União Europeia. A fragmentação das responsabilidades regulatórias, onde cada país é responsável pelas entidades sediadas em seu território, pode resultar em uma aplicação menos eficaz da legislação, principalmente no caso de grandes empresas tecnológicas que operam em múltiplos países.
Além disso, a exigência de que as queixas sejam apresentadas em inglês a uma entidade estrangeira, como a Data Protection Commission (DPC) na Irlanda, pode representar um obstáculo adicional para muitos cidadãos, dificultando o exercício dos seus direitos. Este é um ponto que o Parlamento Europeu deve considerar com seriedade, assegurando que os cidadãos da UE possam exercer seus direitos de maneira acessível e justa, sem serem prejudicados por barreiras linguísticas ou geográficas.
O caso da TEMU sugere que é necessário um maior rigor na análise das permissões e na transparência da coleta de dados em aplicações móveis, além de uma atenção redobrada para possíveis falhas no sistema de proteção de dados da União Europeia. É importante que a CNPD e outras autoridades competentes adotem uma abordagem mais proativa, garantindo que os direitos dos consumidores sejam devidamente protegidos, sem transferir responsabilidades para os próprios consumidores.
Nos anos de 2023 e 2024, o Brasil registrou uma média de 1.379 ataques cibernéticos por minuto, de acordo com um estudo realizado pela Kaspersky, empresa de cibersegurança e privacidade digital. Esses dados foram divulgados durante a Cyber Security Week (CSW 2024), um evento realizado em Cartagena, na Colômbia.
O relatório, que faz parte do Panorama de Ameaças para a América Latina 2024, indica que o Brasil foi responsável por 63% de todas as infecções de malware na região. No total, foram cerca de 725 milhões de ataques cibernéticos no período analisado, o que equivale a aproximadamente 1,9 milhões de incidentes por dia.
Os setores mais afetados no Brasil foram:
Fabricação: 20,11%;
Governo: 18,06%;
Agricultura: 16,93%;
Varejo e Atacado: 12,04%;
Educação e Ciência: 6,51%.
Além desses, setores como TI e serviços, finanças, imobiliário e telecomunicações também enfrentaram desafios significativos, com uma prevalência crescente de golpes realizados via dispositivos móveis.
O estudo da Kaspersky também revelou um aumento de 70% nas tentativas de ataques a plataformas móveis na América Latina nos últimos 12 meses, contabilizando 3,9 milhões de tentativas em comparação aos 2,3 milhões registrados no período anterior.
As principais ameaças identificadas em dispositivos móveis incluem aplicativos que exibem publicidade indesejada e programas que oferecem empréstimos utilizando o próprio dispositivo como garantia, bloqueando o acesso ao aparelho em caso de inadimplência.
Entre os tipos mais comuns de ataques cibernéticos observados estão:
Malware: Software malicioso projetado para causar danos a dispositivos ou dados;
Phishing: Tentativas de obter informações pessoais ou financeiras por meio de mensagens que imitam comunicações de instituições legítimas;
Ransomware: Um tipo de malware que bloqueia o acesso a dados até que um resgate seja pago;
Cavalos de Troia Bancários: Programas maliciosos que coletam informações sensíveis, como credenciais bancárias e dados de login.
Esses dados reforçam a necessidade de uma abordagem sólida e constante na proteção contra ameaças digitais, especialmente em um ambiente de rápida evolução tecnológica e crescente conectividade.
A Justiça Federal em São Paulo emitiu uma decisão significativa que proíbe o WhatsApp de compartilhar dados de usuários brasileiros com outras empresas do Grupo Meta para fins próprios, como a veiculação de anúncios personalizados. Essa decisão responde a uma ação civil pública movida pelo Ministério Público Federal (MPF) e pelo Instituto de Defesa do Consumidor (Idec), que contestaram a política de privacidade imposta pelo aplicativo em 2021.
Conforme a decisão da 2ª Vara Cível Federal de São Paulo, as práticas de tratamento de dados do WhatsApp no Brasil devem ser equiparadas às normas mais rígidas adotadas pela União Europeia. O WhatsApp terá um prazo de 90 dias para implementar funcionalidades que permitam aos usuários, entre outras coisas, desistir da adesão à controversa política de privacidade.
A ação, movida no mês passado, destaca que a política de privacidade introduzida pelo WhatsApp em 2021, durante a pandemia, permitiu a coleta massiva de dados pessoais dos usuários e seu compartilhamento com outras plataformas do Grupo Meta, como Facebook e Instagram. O MPF e o Idec argumentam que a política foi apresentada de maneira fragmentada e pouco transparente, forçando a adesão dos usuários ao condicionar a continuidade do uso do aplicativo à aceitação dos novos termos.
Essas práticas, segundo a ação, infringiram diversos dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD), violando o direito dos cidadãos à informação clara e à liberdade de escolha. Além disso, também desrespeitaram o Marco Civil da Internet e o Código de Defesa do Consumidor.
O MPF e o Idec buscam, além da adaptação das políticas do WhatsApp, uma indenização de R$ 1,733 bilhão por danos morais coletivos, tomando como referência as multas aplicadas à empresa na União Europeia por práticas similares. De 2021 a 2023, o WhatsApp foi multado em 230,5 milhões de euros por violações relacionadas à privacidade dos usuários, com as sanções sendo mantidas mesmo após apelações judiciais.
Há seis anos, o Brasil deu um passo essencial na proteção dos direitos fundamentais de seus cidadãos com a criação da Lei Geral de Proteção de Dados Pessoais (LGPD). Essa legislação surgiu como resposta à crescente demanda por regulamentar o uso de informações pessoais em um cenário cada vez mais digitalizado. Com o fim do período de adaptação para as empresas, houve transformações significativas não apenas no tratamento dos dados, mas, principalmente, na conscientização das pessoas sobre o uso de suas informações.
O tratamento de dados abrange qualquer atividade que envolva o manejo de dados pessoais, desde a coleta até a eliminação. Esse conceito, conforme descrito pelas autoridades competentes, inclui uma vasta gama de operações, como a recepção, armazenamento, modificação e até mesmo a comunicação de dados, refletindo a complexidade e a abrangência das práticas que a LGPD busca regulamentar.
A LGPD representou um marco importante para criar um ambiente mais seguro para os dados pessoais no Brasil. No entanto, sua implementação revelou desafios que ainda comprometem sua eficácia. Um dos principais entraves é a falta de conhecimento da população sobre seus próprios direitos em relação aos dados pessoais. Isso resulta em uma exposição contínua a fraudes e golpes digitais, sem que as pessoas saibam que poderiam ter maior proteção e reparação jurídica.
Entre os impactos mais notáveis da LGPD está a exigência de que empresas adotem medidas técnicas e administrativas para garantir a segurança da informação e mitigar vulnerabilidades cibernéticas. A lei exige que os direitos dos titulares de dados sejam respeitados, demandando o consentimento explícito para o tratamento de suas informações. Além disso, as empresas, como agentes de tratamento, são obrigadas a garantir a transparência total na coleta, armazenamento e uso dos dados pessoais, sob pena de sanções.
Os efeitos diretos da LGPD são amplos. Primeiramente, ela conferiu aos titulares maior controle sobre seus dados pessoais, permitindo que eles acessem, corrijam e, em algumas situações, eliminem suas informações. Isso marca uma mudança significativa, pois a legislação não só proporciona um poder de fiscalização à Autoridade Nacional de Proteção de Dados (ANPD), mas também aos próprios titulares.
As empresas, em resposta à LGPD, foram obrigadas a revisar e adaptar suas práticas de segurança da informação. Isso incluiu a implementação de novas políticas e procedimentos internos, a revisão de contratos com terceiros e a criação de avisos de privacidade que atendam às exigências legais de transparência.
A LGPD também impulsionou a criação de novos cargos e estruturas dentro das organizações, como o Encarregado de Proteção de Dados (DPO), cuja função é assegurar a conformidade com a lei e promover a cultura de privacidade entre os colaboradores. Com isso, comitês de privacidade e outros órgãos internos passaram a desempenhar papéis cruciais na governança corporativa.
Além das adaptações internas, a LGPD trouxe implicações legais rigorosas, com penalidades que podem chegar a multas significativas para o descumprimento de suas disposições. As empresas que infringirem as regras estão sujeitas a processos judiciais, elevando o nível de responsabilidade sobre o tratamento de dados.
Outro impacto importante foi a necessidade de alteração nas práticas de marketing e publicidade. As estratégias que envolvem o uso de dados pessoais precisaram ser ajustadas para se adequar às novas regras, que, em alguns casos, requerem o consentimento dos titulares.
A LGPD fomentou uma maior conscientização entre os cidadãos sobre a importância da privacidade e da proteção de dados. Esse aumento na conscientização é essencial para a proteção individual em um contexto de crescente criminalidade digital, tornando-se um dos legados mais importantes da lei.
A LGPD não só transformou a maneira como as empresas operam, mas também promoveu uma mudança cultural no Brasil, destacando a relevância da privacidade em um mundo digital cada vez mais interconectado.
A presença crescente dos bens digitais no cotidiano tem gerado debates importantes sobre o patrimônio pessoal nos espaços virtuais, especialmente em casos de falecimento do proprietário. A chamada herança digital ainda carece de uma legislação específica que defina seu destino, deixando a cargo dos tribunais a responsabilidade de resolver controvérsias. Isso resulta em entendimentos divergentes, dificultando a tutela de direitos.
A herança digital abrange todo o patrimônio virtual deixado por uma pessoa, incluindo bens informacionais intangíveis associados a contas online, que podem ter conteúdo econômico, não econômico ou de caráter misto, como direitos autorais. Atualmente, um anteprojeto de Código Civil visa incluir o patrimônio virtual, compreendendo arquivos de texto, áudio, vídeo, imagens, dados pessoais e contas online. Esses dados podem ter valor econômico ou afetivo para os herdeiros, existindo apenas na forma eletrônica e exigindo um tratamento sucessório específico, não contemplado pela legislação brasileira atual.
O Desafio de Regular a Herança Digital
Os bens físicos são partilhados entre cônjuge sobrevivente e herdeiros conforme o regime de casamento e as regras de sucessão. Contudo, os bens digitais ainda carecem de regulamentação. A legislação atual foi criada em uma época em que os bens digitais eram inexistentes ou insignificantes. Com a evolução das redes sociais e a maior integração do dia a dia à internet, a digitalização dos bens criou uma nova realidade que ainda precisa de previsão jurídica adequada.
Além da privacidade, um aspecto crucial na proteção de dados pessoais, há discussões sobre o papel das plataformas digitais no processo de sucessão. Os provedores de aplicação podem aplicar seus termos de uso, geralmente estipulando que os dados dos perfis pertencem à rede social, mesmo após o falecimento do proprietário. Contudo, não há consenso sobre essa prática.
O Anteprojeto de Reforma do Código Civil
A Lei Geral de Proteção de Dados Pessoais (13.709/2018) reforça o direito à proteção de informações pessoais dos titulares de dados. A Lei de Direitos Autorais (9.610/1998) oferece definições ao tema, estabelecendo tempo de proteção e direitos dos executores e produtores, mas sem previsões específicas sobre a sucessão digital. Dada a ausência de maior previsão legislativa sobre o tema no direito sucessório, o Instituto Brasileiro de Direito de Família (IBDFAM) editou o Enunciado nº 40, que integra a herança digital na sucessão do titular, ressalvadas hipóteses envolvendo direitos personalíssimos, direitos de terceiros e disposições de última vontade em sentido contrário.
O anteprojeto de reforma do Código Civil, aprovado em abril e enviado ao Senado, inseriu um novo livro denominado “do direito civil digital”, visando regular a face virtual da vida civil. Embora a Lei de Direitos Autorais e o Marco Civil da Internet (12.965/2014) ajudem no debate, eles não resolvem todas as especificidades exigidas para uma regulamentação adequada da sucessão dos bens virtuais. Grande parte da herança digital pode ter elevado valor afetivo para os familiares, e a ausência de regulamentação agrava o sofrimento da perda de um ente querido. A legislação deve determinar a destinação desses dados para evitar seu desvio ou mau uso, preservando a vontade e a privacidade do falecido. A regulamentação da herança digital é uma necessidade urgente para adaptar a legislação ao novo contexto tecnológico e garantir a proteção dos direitos e interesses dos herdeiros.
Malware, abreviação de “malicious software” (software malicioso), refere-se a qualquer programa ou conjunto de dados criado com o objetivo de se infiltrar em sistemas de computadores e realizar atividades ilegais. Essas atividades incluem roubo de informações, desvio de dinheiro, e cópia de certificados de segurança. Este artigo explora o conceito de malware, os riscos associados e os principais tipos existentes.
O Que é Malware?
Malware é um termo abrangente para definir qualquer software desenvolvido com a finalidade de invadir sistemas e executar ações ilícitas. Dependendo da estratégia de invasão ou da finalidade específica, o nome do malware pode variar. Por exemplo, o spyware é um tipo de malware projetado para espionar usuários, acessando webcams e microfones para registrar informações e enviá-las ao criminoso cibernético, que pode usar esses dados para chantagem.
A presença de malware em dispositivos tecnológicos é extremamente prejudicial, pois viola a privacidade das pessoas, rouba informações pessoais, desvia dinheiro de contas bancárias e corretoras de valores, copia códigos de crachás e certificados de segurança, entre outros danos. Alguns malwares são capazes de infectar múltiplos dispositivos, enquanto outros são direcionados a tipos específicos de tecnologia, como celulares, tablets, computadores e até televisores.
Tipos de Malware
Existem diversos tipos de malware, cada um com características e objetivos específicos. A seguir, apresento uma lista dos tipos mais comuns:
Spyware: Software malicioso instalado para espionar usuários. Pode acessar câmeras, microfones e coletar informações sensíveis.
Keylogger: Malware que registra as teclas digitadas pelo usuário, permitindo a coleta de informações como números de cartões de crédito, senhas e outras chaves de segurança.
Cavalo de Troia: Apresenta-se como um software seguro, mas serve como porta de entrada para outros malwares que buscam roubar informações ou danificar sistemas.
Ransomware: Criptografa os arquivos da vítima, impedindo o acesso aos mesmos. O criminoso exige um resgate para liberar os arquivos.
Phishing: Técnica utilizada por hackers para “pescar” dados sensíveis dos usuários. Normalmente, envolve o envio de e-mails com links ou arquivos corrompidos. Quando o usuário clica ou baixa o conteúdo, os dados podem ser roubados por meio de acesso remoto.
Apesar do impacto negativo dos malwares, algumas aplicações desses softwares podem ser vistas de forma positiva em contextos específicos. Por exemplo, certas divisões secretas de tecnologia em alguns países utilizam hackers para encontrar, rastrear e comprovar atividades ilegais, como as de agressores sexuais, entre outros tipos de criminosos.
A compreensão dos diversos tipos de malware é crucial para a prevenção e mitigação de ataques cibernéticos. É essencial adotar medidas de segurança robustas e estar atento aos sinais de possíveis infecções para proteger informações pessoais e corporativas.
É essencial enfatizar a importância de uma abordagem proativa na educação sobre cibersegurança, bem como a implementação de tecnologias avançadas para detectar e neutralizar ameaças antes que causem danos significativos.
Um grupo de cibercriminosos recentemente chamou a atenção ao invadir sistemas de consultórios de cirurgia plástica no Rio Grande do Sul e no Paraná, bem como de uma clínica de saúde sexual masculina em Minas Gerais. Utilizando a deep web para divulgar seus feitos, o grupo, denominado Qiulong, revelou estar em posse de imagens íntimas e dados financeiros dos pacientes.
A partir de sexta-feira passada, a página da deep web onde o grupo opera foi descoberta, mostrando atualizações até a última quarta-feira. Esses criminosos virtuais têm ameaçado divulgar esses dados sensíveis amplamente, incluindo redes sociais, a menos que um resgate seja pago.
As clínicas atingidas estão enfrentando a delicada situação de ter seus dados sequestrados via ransomware, um tipo de ataque que criptografa dados vitais e exige pagamento para sua liberação. Um dos consultórios afetados negou que as fotos vazadas sejam de seus clientes, embora confirme o ataque de ransomware. Enquanto isso, um segundo consultório confirmou ter sido atacado, mas optou por não dar detalhes. Ambos registraram boletins de ocorrência.
Os cibercriminosos afirmam ter em seu poder aproximadamente 64 gigabytes de informações, que incluem não apenas fotos, mas também dados pessoais, bancários e de comunicações entre médicos e pacientes. Além disso, reivindicam acesso às senhas de médicos em diversos serviços online.
A natureza deste incidente reforça a necessidade urgente de medidas robustas de segurança cibernética nos setores de saúde, especialmente para proteger informações sensíveis dos pacientes.
Um grupo de cibercriminosos recentemente chamou a atenção ao invadir sistemas de consultórios de cirurgia plástica no Rio Grande do Sul e no Paraná, bem como de uma clínica de saúde sexual masculina em Minas Gerais. Utilizando a deep web para divulgar seus feitos, o grupo, denominado Qiulong, revelou estar em posse de imagens íntimas e dados financeiros dos pacientes.
A partir de sexta-feira passada, a página da deep web onde o grupo opera foi descoberta, mostrando atualizações até a última quarta-feira. Esses criminosos virtuais têm ameaçado divulgar esses dados sensíveis amplamente, incluindo redes sociais, a menos que um resgate seja pago.
As clínicas atingidas estão enfrentando a delicada situação de ter seus dados sequestrados via ransomware, um tipo de ataque que criptografa dados vitais e exige pagamento para sua liberação. Um dos consultórios afetados negou que as fotos vazadas sejam de seus clientes, embora confirme o ataque de ransomware. Enquanto isso, um segundo consultório confirmou ter sido atacado, mas optou por não dar detalhes. Ambos registraram boletins de ocorrência.
Os cibercriminosos afirmam ter em seu poder aproximadamente 64 gigabytes de informações, que incluem não apenas fotos, mas também dados pessoais, bancários e de comunicações entre médicos e pacientes. Além disso, reivindicam acesso às senhas de médicos em diversos serviços online.
A natureza deste incidente reforça a necessidade urgente de medidas robustas de segurança cibernética nos setores de saúde, especialmente para proteger informações sensíveis dos pacientes.
O Banco Central do Brasil recentemente revelou um incidente de segurança envolvendo dados pessoais associados a chaves Pix, desta vez relacionados ao Banco do Estado do Pará S.A. (Banpará). O incidente foi causado por vulnerabilidades específicas nos sistemas do banco.
O vazamento afetou informações cadastrais de aproximadamente 3.020 chaves Pix. As informações comprometidas incluem o nome do usuário, CPF (parcialmente oculto), instituição financeira associada, bem como números de agência e de conta. O Banco Central assegura, contudo, que nenhum dado sensível como senhas, detalhes de transações ou saldos de contas foi exposto.
De acordo com o órgão regulador, os dados acessados são estritamente cadastrais e não oferecem possibilidades de realização de movimentações financeiras ou acesso a contas e informações bancárias protegidas por sigilo.
Os indivíduos impactados por este incidente serão informados diretamente através do aplicativo ou internet banking do banco onde possuem conta. O Banco Central enfatizou que não serão utilizados outros canais de comunicação, como aplicativos de mensagens, chamadas telefônicas, SMS ou emails, para contactar os afetados.
Além disso, o Banco Central declarou que estão sendo realizadas investigações detalhadas sobre o ocorrido e que medidas punitivas apropriadas serão aplicadas conforme previsto na regulamentação atual. Este episódio destaca a importância da segurança cibernética dentro das instituições financeiras e a necessidade de contínuo aprimoramento dos sistemas para proteger os dados dos consumidores.
As questões de segurança cibernética e adequação regulatória emergem como aspectos críticos para corporações em diversos setores. A garantia da segurança das informações pessoais e financeiras dos usuários é um pilar essencial para a preservação da confiança pública e para a prevenção de repercussões legais adversas. Neste contexto, este artigo se propõe a mergulhar nas correntes e perspectivas atuais do universo da segurança de dados e do compliance, vislumbrando os contornos que estas áreas podem assumir até 2024.
A segurança de dados envolve uma gama de estratégias e práticas implementadas para salvaguardar as informações contra acessos indevidos e assegurar sua confidencialidade, integridade e disponibilidade. Paralelamente, o compliance se apresenta como um mecanismo eficaz para assegurar a adesão às normativas de segurança da informação dentro das organizações. Assim, a implementação de políticas de compliance se torna um requisito incontornável para organizações que almejam a proteção efetiva dos dados.
Com a evolução acelerada das tecnologias digitais, observa-se um incremento exponencial no volume de dados coletados e armazenados pelas corporações. Esta tendência amplifica os riscos associados a violações de segurança, ataques cibernéticos e furto de informações sigilosas. Neste cenário, a segurança de dados se consolida como uma prioridade estratégica para entidades interessadas em proteger seus clientes e salvaguardar sua reputação no mercado.
Ademais, a mera proteção de dados revela-se insuficiente sem uma alinhamento rigoroso com as normativas governamentais e de mercado. O compliance diz respeito à observância de leis e diretrizes designadas para proteger a privacidade e a segurança dos dados. Normativas como o Regulamento Geral de Proteção de Dados (RGPD) na União Europeia e a Lei Geral de Proteção de Dados (LGPD) no Brasil estipulam diretrizes rigorosas para o tratamento de dados pessoais, cujo descumprimento pode acarretar penalidades severas e prejudicar a imagem corporativa.
À medida que nos encaminhamos para 2024, antecipam-se algumas tendências significativas na área de segurança de dados e compliance. Entre elas, destaca-se o crescente emprego de tecnologias disruptivas, como a inteligência artificial e o machine learning, na detecção e prevenção de violações de segurança. Tais tecnologias oferecem recursos avançados para a identificação de comportamentos suspeitos e intrusões, possibilitando uma atuação mais ágil e proativa.
Outro movimento notável é o fortalecimento da colaboração entre entidades privadas e órgãos governamentais na luta contra as ameaças cibernéticas. Alianças estratégicas permitem o intercâmbio de informações e conhecimentos, potencializando a eficácia das respostas aos ataques e melhorando a capacidade de previsão de vulnerabilidades.
Projeta-se um aumento na conscientização sobre privacidade e segurança de dados nos próximos anos. A demanda por práticas de segurança transparentes e robustas tende a crescer, à medida que os consumidores se tornam mais vigilantes quanto ao tratamento de suas informações.
A segurança de dados e o compliance se mantêm como temas de relevância e complexidade crescentes. O avanço tecnológico contínuo pressupõe a emergência de novas ameaças e a atualização constante das normativas. Contudo, mediante a adoção de tecnologias de ponta, cooperação intersectorial e um compromisso genuíno com a privacidade do consumidor, as organizações poderão assegurar tanto a proteção dos dados quanto a conformidade com as regulamentações vigentes. O desafio reside em preparar-se adequadamente para este futuro digital iminente.
