Tag: Vazamento de dados

Publicado em por Deixe um comentário

FALHA EM SISTEMA BANCÁRIO EXPÕE DADOS CADASTRAIS DE CLIENTES

Na última sexta-feira, foi informado que uma instituição financeira estatal enfrentou um vazamento de dados pessoais relacionado a chaves Pix. O incidente, registrado no final de setembro, comprometeu informações de 644 clientes devido a falhas nos sistemas internos.

De acordo com o órgão regulador, os dados expostos incluem informações cadastrais básicas, como nome, CPF, data de abertura da conta e data de criação da chave Pix. Não houve comprometimento de dados sensíveis, como senhas, informações financeiras, saldos ou movimentações bancárias. O vazamento foi limitado a informações que, embora importantes, não permitem acesso direto às contas ou transações financeiras.

A instituição bancária envolvida declarou ter identificado e corrigido o problema rapidamente, notificando os clientes afetados por meio de seu aplicativo oficial e internet banking. Foi reforçado que nenhum outro canal de comunicação, como mensagens, ligações, SMS ou e-mails, será utilizado para esse tipo de notificação.

O órgão regulador também destacou que está conduzindo investigações detalhadas e tomará medidas necessárias para garantir a segurança dos sistemas e aplicar eventuais sanções previstas na regulamentação. O caso chama atenção para a importância de mecanismos robustos de segurança cibernética e resposta rápida a incidentes que envolvam dados pessoais sensíveis.

A recomendação para os usuários é manter atenção a notificações oficiais e evitar interagir com mensagens suspeitas que possam se passar por contatos da instituição financeira.

Publicado em por Deixe um comentário

RECORDE DE INVESTIGAÇÕES PELA ANPD ALERTA PARA VULNERABILIDADES NO SETOR DE SAÚDE E SEGURANÇA DE DADOS

A Autoridade Nacional de Proteção de Dados (ANPD) intensificou significativamente suas atividades de fiscalização este ano, registrando um número recorde de processos para investigar incidentes de segurança e vazamentos de dados. Esse aumento é especialmente notável em outubro, mês em que a ANPD abriu 21 investigações em apenas duas semanas, superando o total acumulado nos últimos quatro anos da autarquia. Somente em 2024, já foram iniciados 31 processos de apuração, enquanto em todo o ano passado houve apenas um. Entre 2021 e 2023, o número total de investigações foi de apenas 15, refletindo o quanto a atuação da autoridade foi reforçada neste ano.

Esse movimento recente chamou a atenção de especialistas em proteção de dados, gerando discussões sobre o possível endurecimento das ações de fiscalização pela ANPD. No entanto, a própria entidade afirmou que essa intensificação não representa uma mudança de postura, mas sim uma resposta a um evento extraordinário envolvendo o vazamento de dados em grande escala. Em razão da confidencialidade dos processos, a ANPD não detalha a maioria das investigações, com algumas exceções listadas no portal oficial, onde é possível identificar empresas do setor de saúde e instituições públicas que estão sendo apuradas.

O setor de saúde, particularmente sensível pela natureza das informações tratadas, é alvo de grande parte das investigações mais recentes. Instituições do setor, assim como outros órgãos públicos, têm sido foco das apurações, enquanto as autoridades enfrentam desafios legais e estruturais para ampliar a transparência e garantir a segurança dos dados pessoais. Esse episódio levanta questões sobre os limites enfrentados pela ANPD em termos de recursos e autonomia, especialmente em um momento em que a conscientização sobre a importância da proteção de dados cresce tanto no Brasil quanto internacionalmente.

Publicado em por Deixe um comentário

JUSTIÇA CONDENA DISTRITO FEDERAL POR EXPOSIÇÃO INDEVIDA DE DADOS DE MENOR APRENDIZ

A 2ª Vara de Fazenda Pública do Distrito Federal determinou que o ente público indenize um menor de idade por danos morais, após a exposição indevida de seus dados pessoais durante seu período de trabalho como aprendiz no Conselho Tutelar da região de Sol Nascente.

Conforme os autos do processo, o jovem relatou que outros menores aprendizes tiveram acesso a documentos que continham informações sensíveis sobre ele e seus familiares, referentes a atendimentos realizados anteriormente pelo Conselho Tutelar. Esses dados teriam sido compartilhados em um grupo de mensagens, gerando constrangimento e situações de humilhação ao menor. Após o ocorrido, o jovem passou a ser alvo de comentários pejorativos, o que tornou inviável a convivência com os demais colegas de trabalho. Além disso, ele revelou que alguns dos envolvidos possuíam histórico de atos infracionais, o que aumentou seu receio de sofrer retaliações. Diante do ambiente hostil, a solução encontrada foi a sua transferência para outra unidade do Conselho.

A defesa do Distrito Federal sustentou que as mensagens anexadas ao processo não seriam suficientes para comprovar a divulgação de informações do autor, alegando falta de evidências que configurassem a violação de dados pessoais. No entanto, a análise do juiz divergiu desse entendimento.

As conversas registradas nos autos demonstravam a exposição indevida dos dados do menor e sua família. “As mensagens revelam claramente o acesso a pastas que continham dados pessoais do autor e de seus familiares”, enfatizou. A decisão ainda frisou a falha do Distrito Federal em proteger informações sensíveis, violando os direitos à privacidade e à dignidade do menor, garantidos pelo Estatuto da Criança e do Adolescente (ECA) e pela Lei Geral de Proteção de Dados (LGPD).

Houve uma clara quebra do sigilo de dados protegidos pela LGPD e uma violação à intimidade do jovem, resultando em danos que não podem ser mensurados. Diante desses fatores, o Distrito Federal foi condenado a pagar uma indenização de R$ 30 mil, além de ser responsabilizado pelas custas processuais e honorários advocatícios.

Essa decisão reforça a importância da proteção de dados pessoais, especialmente no contexto de menores, destacando que a falta de cuidado na gestão de informações sensíveis pode acarretar sérias consequências jurídicas e sociais.

Publicado em por Deixe um comentário

COMO PEQUENAS AÇÕES PODEM PROTEGER SEUS DADOS PESSOAIS

Hoje, a exposição dos nossos dados pessoais é uma realidade preocupante. Basta uma pequena fração de informação, como o nome ou o número de telefone, para que muitos dados sensíveis possam ser acessados, como CPF, endereço, renda e até fotos. Isso é facilitado por ferramentas conhecidas como “painéis de dados”, que têm sido uma das principais fontes para a crescente onda de golpes virtuais no Brasil.

Esses painéis reúnem informações vazadas ou roubadas de bases de dados públicas e privadas, e criminosos conseguem acessá-los facilmente, muitas vezes pagando por assinaturas que variam de R$ 30 a R$ 350. Embora o simples acesso a esses painéis não configure um crime, as consequências têm sido graves. De acordo com estudos recentes, golpes virtuais baseados nesses dados aumentaram significativamente nos últimos anos, superando até prejuízos causados por crimes como furtos e roubos de celulares.

A pandemia impulsionou ainda mais essa tendência, trazendo um grande número de pessoas para o sistema bancário. O auxílio emergencial, o lançamento do Pix e o surgimento de novas instituições financeiras contribuíram para esse crescimento. Infelizmente, isso também facilitou a vida de criminosos, que passaram a operar em um ambiente virtual, onde os riscos de confronto direto com a polícia são inexistentes.

Os painéis de dados, entretanto, não são novidade. Surgiram nos anos 2010, quando DVDs e pen drives com informações pessoais eram comercializados informalmente. Hoje, essas informações estão em plataformas online que permitem buscas detalhadas sobre uma pessoa, incluindo sua pontuação de crédito e dados financeiros. Embora nem sempre esses dados estejam atualizados, eles são suficientes para que criminosos se aproveitem de pessoas por meio de golpes que parecem cada vez mais autênticos.

A Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, busca garantir mais controle ao cidadão sobre o uso de suas informações pessoais. No entanto, é fundamental que todos se conscientizem sobre a importância de adotar práticas básicas de segurança digital, como mudar senhas regularmente e ser cautelosos ao fornecer informações pessoais, mesmo em situações que parecem seguras.

Embora as autoridades estejam trabalhando para reforçar a proteção de dados, o caminho ainda é longo. A Autoridade Nacional de Proteção de Dados (ANPD) foi criada com essa missão, mas, como um órgão recente, enfrenta desafios para se consolidar. A conscientização coletiva, o fortalecimento da fiscalização e a aplicação de sanções adequadas são passos essenciais para reduzir a exposição dos nossos dados e combater a prática de golpes virtuais de forma mais eficaz.

Publicado em por Deixe um comentário

COMO PREVENIR E REAGIR A VAZAMENTOS DE INFORMAÇÕES

Em 2022, o Brasil registrou números alarmantes em relação ao vazamento de dados, liderando o cenário global com 43% dos dados expostos mundialmente, totalizando 112 terabytes. Mesmo com a vigência da Lei Geral de Proteção de Dados (LGPD) e do Marco Civil da Internet, o país ainda enfrenta grandes desafios na proteção de informações pessoais.

Essa fragilidade na segurança cibernética ressalta a importância de medidas proativas para mitigar os riscos e, caso ocorra um incidente, reduzir o impacto. A seguir, algumas estratégias essenciais para proteger seus dados e reagir de forma eficaz diante de um vazamento:

Monitore regularmente o Registrato: Esse serviço disponibilizado pelo Banco Central permite verificar se contas bancárias ou chaves PIX foram abertas em seu nome sem a devida autorização. Identificar possíveis fraudes o quanto antes é crucial para evitar maiores danos.

Utilize a Rede Sim para bloquear a abertura de empresas: Para se proteger contra golpes envolvendo a criação de empresas fantasmas, é possível impedir a abertura de CNPJs em seu nome, evitando o uso indevido de suas informações.

Fique atento a possíveis fraudes em empréstimos: Serviços de monitoramento de crédito são uma ferramenta importante para detectar tentativas de fraude, especialmente aquelas que podem ocorrer após um vazamento de dados pessoais.

Embora a prevenção seja sempre o melhor caminho, adotar essas práticas ajuda a minimizar os danos em caso de incidentes de segurança. A proteção de dados é uma responsabilidade compartilhada, e todos devemos estar atentos à segurança das nossas informações pessoais.

Publicado em por Deixe um comentário

ATAQUE HACKER EXPÕE VULNERABILIDADE EM SERVIDOR TERCEIRIZADO

A Fortinet, empresa de destaque no setor de cibersegurança, foi alvo de um ataque que resultou em um vazamento de dados significativo. O incidente envolveu o roubo e a divulgação de 440 GB de informações extraídas de um servidor da companhia, que estava hospedado na plataforma Microsoft SharePoint. O autor do ataque, conhecido pelo pseudônimo Fortibitch, tentou extorquir a empresa exigindo um pagamento para não liberar os dados. Contudo, após a recusa da Fortinet em negociar, o hacker divulgou o conteúdo em fóruns especializados em crimes cibernéticos, detalhando como acessar as informações roubadas.

Em comunicado oficial, a Fortinet confirmou o ataque e destacou que apenas “um número limitado de arquivos” foi comprometido. Esses dados estavam armazenados em um servidor de um parceiro terceirizado, no caso, a Microsoft. Embora a empresa não tenha revelado detalhes sobre a natureza dos arquivos expostos, mencionou que “um pequeno número de clientes” foi afetado, correspondendo a cerca de 0,3% de sua base de usuários.

A empresa garantiu que já entrou em contato com os clientes afetados para oferecer suporte. Até o momento, a Fortinet não observou qualquer atividade maliciosa decorrente do vazamento e não precisou interromper suas operações. Além disso, uma investigação independente foi iniciada para apurar os detalhes do ataque e compreender o que levou à falha de segurança.

Este caso reforça a importância de práticas rigorosas de cibersegurança, especialmente quando se utiliza serviços em nuvem de terceiros. As consequências de uma invasão como essa podem ser severas, não só pela exposição de informações confidenciais, mas também pelo potencial impacto na confiança dos clientes e parceiros. A resposta rápida e a transparência da Fortinet são exemplos de boas práticas, embora o incidente ressalte a necessidade constante de evolução em estratégias de proteção de dados e resposta a ameaças cibernéticas.

Publicado em por Deixe um comentário

VAZAMENTO DE DADOS: COMO HACKERS ROUBARAM 2,7 BILHÕES DE REGISTROS PESSOAIS

Em agosto, uma das principais notícias de cibersegurança nos Estados Unidos destacou um vazamento massivo de 2,7 bilhões de números de segurança social, equivalente ao CPF no Brasil, reivindicado por um grupo cibercriminoso chamado USDoD. Conhecido por ataques globais a empresas, esse grupo agora está no centro de uma investigação que aponta um possível líder, supostamente residente no Brasil. Segundo um relatório da empresa de segurança CrowdStrike, o indivíduo em questão teria um histórico de hackativismo e envolvimento com crimes cibernéticos complexos.

O grupo USDoD emergiu nos últimos meses, sendo associado a invasões de várias organizações, incluindo grandes empresas de tecnologia e agências governamentais. Além de comprometer dados de funcionários e clientes de entidades como a Airbus e a TransUnion, o grupo também afirmou ter acesso a informações de empresas de defesa dos Estados Unidos. No ataque mais recente, um conjunto de dados de 277 GB foi roubado de uma empresa norte-americana, totalizando quase 3 bilhões de registros pessoais, oferecidos posteriormente à venda por milhões de dólares.

A investigação da CrowdStrike revelou que o líder do grupo USDoD tem um passado que combina atividades hacktivistas e cibercriminosas, com envolvimento em fóruns especializados desde 2017. A conexão foi feita por meio de um conjunto de informações digitais rastreadas ao longo de anos, como emails usados para registrar domínios e contas em redes sociais. Essa atividade tornou a identificação do suspeito mais acessível, especialmente devido ao uso recorrente de ferramentas e perfis com descrições semelhantes.

O relatório ainda destaca a vaidade comum entre cibercriminosos que atacam grandes corporações. Esse traço ficou evidente nas declarações feitas pelo líder do USDoD em entrevistas para veículos especializados em crimes cibernéticos, o que acabou contribuindo para sua exposição. O grupo, assim como outros de destaque, utilizou técnicas de ransomware para sequestrar dados sensíveis e extorquir vítimas, seja por meio da venda ou da ameaça de divulgação pública.

Embora a CrowdStrike tenha entregue as informações coletadas às autoridades competentes, a empresa avalia que a revelação da identidade do líder pode não ser suficiente para deter suas atividades. O desejo por reconhecimento em comunidades hacktivistas e cibercriminosas parece ser uma motivação constante, e as negações ou tentativas de desviar a atenção são estratégias já previstas por especialistas da área.

A importância de uma abordagem integrada de cibersegurança é evidente, com as empresas precisando estar preparadas para lidar não apenas com os aspectos técnicos dos ataques, mas também com a complexidade das motivações humanas por trás desses crimes. Em um cenário cada vez mais conectado, a proteção de dados e a resposta rápida a incidentes são essenciais para mitigar os danos causados por grupos como o USDoD.

Publicado em por Deixe um comentário

SECRETARIA DA FAZENDA CONFIRMA REGULARIDADE NOS PAGAMENTOS DE PRECATÓRIOS ATÉ 2029

O governo do Estado do Rio Grande do Sul desmentiu qualquer possibilidade de prorrogação do prazo para o pagamento de precatórios, após credores relatarem o recebimento de mensagens de empresas que ofereciam serviços e mencionavam uma suposta proposta para estender o prazo de quitação até 2034. De acordo com a Secretaria Estadual da Fazenda (Sefaz), o governo segue empenhado em liquidar o estoque de precatórios até 2029, conforme estipulado pela legislação federal, e reitera que não compartilha dados dos contribuintes.

Para 2024, a previsão orçamentária inclui R$ 3 bilhões para o pagamento desses débitos, além de uma possível operação de crédito. Já em 2023, foram destinados R$ 2,7 bilhões para este fim, garantindo a quitação dentro dos limites operacionais. A Sefaz assegurou que, mesmo em caso de alterações no prazo, o governo manteria a regularidade dos pagamentos, evitando o aumento desse passivo.

Mensagens enviadas por empresas especializadas na compra e negociação de precatórios estão preocupando os credores, que denunciam o uso indevido de seus dados pessoais. Segundo relatos, as empresas oferecem propostas de compra de precatórios com pagamento à vista ou alertam sobre uma possível demora no recebimento dos valores, sugerindo soluções “antecipadas” mediante negociação.

Especialistas em privacidade e proteção de dados pessoais explicam que esse tipo de abordagem tem se tornado cada vez mais comum, sendo facilitado pela consulta pública aos processos judiciais, onde as informações dos credores podem ser acessadas. Além disso, o uso de tecnologias que cruzam dados, muitas vezes a partir do CPF, contribui para o acesso indevido a informações privadas.

Embora processos judiciais sejam públicos, advogados podem solicitar sigilo sobre determinados documentos, como procurações, o que dificultaria o acesso por terceiros. No entanto, sem essa proteção, as empresas conseguem acessar detalhes suficientes para contatar diretamente os credores.

Além de oferecerem valores inferiores ao que o credor teria direito, as empresas visam obter créditos que podem ser utilizados para compensações fiscais, garantindo um lucro significativo.

Diante dessas práticas, os especialistas orientam os credores a denunciarem o uso indevido de suas informações à Autoridade Nacional de Proteção de Dados (ANPD), por meio do canal de denúncias no site do governo federal. Dependendo da gravidade da infração, as empresas podem ser penalizadas com advertências ou multas.

Por fim, a Secretaria da Fazenda destaca a existência de alternativas legais para antecipação de recebimentos, como os acordos administrativos diretos, com deságio de 40%, oferecidos pela Câmara de Conciliação da Procuradoria Geral do Estado.

Publicado em por Deixe um comentário

BRASIL É O SEGUNDO PAÍS MAIS AFETADO POR ROUBO DE DADOS DE CARTÕES

O Brasil se destaca como o segundo país mais afetado pelo roubo de dados de cartões de crédito e débito, ficando atrás apenas dos Estados Unidos. Essa preocupante posição faz parte de um estudo recente realizado pela NordVPN, que revelou mais de 600 mil credenciais de pagamento comprometidas e à venda na dark web, incluindo em canais de hackers no Telegram. O ranking global do levantamento inclui, além dos Estados Unidos e do Brasil, outros países das Américas, como Índia, México e Argentina, que também figuram entre os cinco mais atingidos.

Além dos dados de pagamento, o estudo identificou que a maioria das credenciais vazadas veio acompanhada de outras informações sensíveis. De acordo com o relatório:

  • 99% dos pacotes incluíam cookies e informações de preenchimento automático do navegador;
  • 95% apresentavam credenciais salvas;
  • 71% continham o nome da vítima;
  • 54% incluíam a data de vencimento dos cartões;
  • 48% continham arquivos diversos dos computadores das vítimas.

A origem desses vazamentos, segundo os pesquisadores, está principalmente em infecções por malwares, distribuídos por meio de campanhas de phishing através de e-mails e sites maliciosos. Uma vez instalado, o malware torna a vítima vulnerável ao roubo de dados, que são então vendidos na dark web para a realização de fraudes financeiras.

O estudo também destaca o papel do malware Redline, responsável pelo roubo de seis em cada dez cartões analisados. O Redline é conhecido por sua capacidade de coletar uma ampla gama de informações pessoais dos dispositivos infectados e por seus recursos avançados de evasão de antivírus.

Para se proteger dessas ameaças, o conselheiro de cibersegurança da NordVPN, Adrianus Warmenhoven, sugere precauções importantes. Entre elas, está o cuidado com ataques de phishing, que podem ser identificados por sinais como erros de ortografia nos endereços de sites e ofertas que parecem “boas demais para serem verdade”. Além disso, ele recomenda não clicar em e-mails de remetentes suspeitos, utilizar senhas fortes e métodos de autenticação multifatorial, bem como manter um antivírus atualizado para proteger dispositivos como celular, computador e tablet.

Essas práticas são essenciais para minimizar o risco de se tornar uma vítima do crescente número de ataques cibernéticos, que podem comprometer não apenas dados financeiros, mas também uma série de outras informações pessoais.

Publicado em por Deixe um comentário

CRESCE O ESTELIONATO DIGITAL NA BAHIA, SAIBA COMO SE DEFENDER

Atualmente, o estelionato virtual se destaca como um dos crimes mais comuns, envolvendo a obtenção ilícita de vantagens financeiras através de meios eletrônicos, como a internet e dispositivos tecnológicos. Como especialista em direito digital, é fundamental abordar estratégias para prevenir esses golpes e orientar sobre os passos a serem seguidos caso alguém seja vítima.

Dois elementos principais favorecem o acesso dos criminosos aos dados pessoais da população: a facilidade de obtenção dessas informações por meio da internet e os frequentes vazamentos de dados por parte de empresas. Essas brechas tornam-se portas de entrada para ações fraudulentas.

O Anuário Brasileiro de Segurança Pública revela um alarmante crescimento de 79,7% nos casos de estelionato digital na Bahia entre 2022 e 2023, saltando de 4.183 para 7.515 registros. Além disso, somente nos primeiros sete meses de 2024, a Polícia Civil da Bahia contabilizou 16.082 ocorrências desse tipo de crime, demonstrando a urgência de medidas preventivas.

Para verificar a autenticidade de ligações recebidas, uma prática recomendada é não atender a chamada imediatamente. Em vez disso, desligue e, em seguida, entre em contato diretamente com a instituição que supostamente fez a ligação. Seja uma agência bancária ou uma operadora de telefonia, essa simples ação pode evitar que você caia em armadilhas.

Publicado em por Deixe um comentário

PRIVACIDADE EM RISCO: AÇÃO JUDICIAL BUSCA FREAR COLETA DE DADOS PELO WHATSAPP

Embora o aplicativo proteja nossas conversas privadas com criptografia, o Instituto Brasileiro de Defesa do Consumidor (Idec) e o Ministério Público Federal (MPF) iniciaram a maior ação judicial da história do Brasil em defesa dos dados pessoais dos consumidores. A ação visa garantir que o WhatsApp respeite nosso direito de escolha sobre o compartilhamento de nossos dados para uso em ofertas e propagandas nas demais empresas do grupo, como Facebook e Instagram.

Desde 2021, o WhatsApp tem acumulado uma vasta base de dados sobre seus usuários, o que levanta preocupações significativas quanto à nossa privacidade e segurança. Basta lembrar o escândalo da Cambridge Analytica nos Estados Unidos para reconhecer os perigos reais que enfrentamos.

Desde então, o Idec e a organização Ekō têm lutado para que o WhatsApp cumpra as leis brasileiras, oferecendo uma opção clara e simples para que os usuários decidam se desejam ou não compartilhar seus dados com a empresa. No entanto, essas iniciativas não tiveram sucesso até agora.

Por isso, ingressamos com esta ação para assegurar nosso direito de escolha. Na Europa, o WhatsApp já respeita as leis e não compartilha essas informações dos usuários. Por que no Brasil deveria ser diferente?

Publicado em por Deixe um comentário

INCIDENTE DE SEGURANÇA COM CHAVES PIX AFETA COOPERATIVAS FILIADAS À UNICRED

O Banco Central (BC) anunciou em 29 de julho um incidente de segurança envolvendo dados pessoais associados às chaves Pix de três cooperativas filiadas à Unicred do Brasil. A falha ocorreu devido a problemas pontuais nos sistemas da instituição.

Em comunicado ao InfoMoney, a Unicred confirmou o incidente, que ocorreu entre os dias 6 e 7 de julho. A cooperativa destacou que não houve comprometimento de dados sensíveis, classificando o vazamento como um “incidente malicioso de segurança”.

Segundo o BC, não foram expostos dados sensíveis, como senhas, informações de transações financeiras, saldos de contas ou quaisquer outras informações protegidas por sigilo bancário. As informações obtidas são de natureza cadastral e não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.

A Unicred informou que implementou medidas adequadas de contenção imediatamente após a detecção do incidente. As contas potencialmente afetadas foram bloqueadas para investigação interna, com dados de login e senha resetados. Os titulares das contas foram notificados sobre a situação.

O BC assegurou que as pessoas afetadas serão informadas exclusivamente através do aplicativo ou internet banking de sua instituição financeira. A instituição alertou que nem o BC nem as instituições participantes utilizarão outros meios de comunicação, como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail, para evitar possíveis golpes.

O Banco Central está conduzindo uma investigação detalhada do caso e informou que aplicará medidas sancionatórias conforme a regulamentação vigente.

A Unicred lamentou qualquer inconveniente causado pelo incidente e reafirmou seu compromisso com a segurança e privacidade dos dados dos seus clientes.