Publicado em Deixe um comentário

SEGURANÇA DE DADOS NAS EMPRESAS: A IMPORTÂNCIA DA GESTÃO DE ACESSOS E CONFORMIDADE COM A LGPD

O panorama da segurança da informação em empresas modernas é extremamente complexo e delicado, especialmente considerando o alto valor dos dados estratégicos, de clientes e de funcionários. A exposição dessas informações cruciais não só acarreta em perdas financeiras significativas, mas também em danos à reputação e consequências legais severas. A violação cibernética, uma das ameaças tecnológicas mais críticas atualmente, frequentemente facilita esses vazamentos de dados, tanto através de ataques externos quanto por ações internas de indivíduos mal-intencionados buscando benefícios pessoais.

Diante desse cenário, o valor dos dados pessoais tem crescido exponencialmente, já que possibilitam às empresas maior precisão ao direcionar produtos e serviços aos consumidores mais propensos a adquiri-los. Essa realidade aumenta o interesse de agentes internos em acessar e, possivelmente, vazar esses dados. Como resposta a esses desafios, importantes regulamentações foram implementadas. Na Europa, temos a GDPR (General Data Protection Regulation), e no Brasil, a Lei Geral de Proteção de Dados (LGPD) foi estabelecida em setembro de 2020. Ambas as legislações visam proteger dados pessoais através de regulamentos rigorosos, incluindo sanções diversas, que vão desde advertências e multas até a proibição de atividades relacionadas ao tratamento de dados.

Essas medidas resultaram em processos mais rigorosos dentro das empresas, que passaram a adotar controles de acesso mais estritos para prevenir vazamentos. As práticas recomendadas incluem a atualização constante de softwares e sistemas, a definição de políticas de segurança robustas, a proibição do uso de softwares piratas ou não confiáveis, além do monitoramento contínuo da infraestrutura, dos e-mails e documentos.

A Gestão de Acessos surge como um aspecto crucial nesse contexto. Muitas vezes, o acesso a informações sensíveis é concedido sem uma análise apropriada das funções dos profissionais, levando a permissões que não correspondem às suas responsabilidades reais. Isso aumenta o risco de uso indevido dos dados. Portanto, a aderência à LGPD e outras regulamentações relevantes exige mais do que políticas de privacidade adequadas; é essencial que as empresas implementem controles internos efetivos, incluindo a gestão de acessos e a segregação de funções (SoD).

Em conclusão, a integração efetiva entre a SoD e a LGPD é fundamental para a proteção de dados sensíveis nas organizações. Esta abordagem não apenas assegura a conformidade legal, mas também fortalece a segurança dos dados, aumenta a confiança de clientes e parceiros, protege a reputação da empresa e demonstra um compromisso genuíno com a proteção da privacidade das informações, oferecendo uma vantagem competitiva no mercado regulamentado.

Publicado em Deixe um comentário

INSTITUTO SIGILO LANÇA PORTAL PARA BENEFICIÁRIOS DO AUXÍLIO BRASIL AFETADOS POR VAZAMENTO DE DADOS

O Instituto Sigilo, oficialmente conhecido como o Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação, lançou um novo portal voltado para a verificação de informações dos beneficiários do programa Auxílio Brasil, que foi extinto. Este portal permite que os beneficiários verifiquem se suas informações pessoais foram comprometidas e se têm direito a receber compensações.

O Instituto Sigilo iniciou uma ação judicial em relação ao vazamento de informações, alegando que os dados de cerca de 4 milhões de pessoas que receberam o Auxílio Brasil em 2022 foram divulgados de maneira indevida. Essas informações envolvem dados de cidadãos de mais de 4 mil municípios. Segundo o Ministério Público Federal, essas informações foram compartilhadas ilegalmente com correspondentes bancários, que as utilizaram para oferecer empréstimos e outros produtos financeiros. Em setembro, a 1ª Vara Cível Federal de São Paulo aceitou o pedido do Instituto Sigilo e determinou o pagamento de R$ 15 mil a título de danos morais a cada pessoa afetada.

As entidades responsáveis pelos pagamentos incluem a União, a Caixa Econômica Federal, a Dataprev e a ANPD (Autoridade Nacional de Proteção de Dados). No entanto, a Caixa Econômica Federal recorreu da decisão, como anunciado em comunicado oficial. A Caixa nega veementemente o vazamento dos dados e assegura que não encontrou falhas em sua gestão de informações, garantindo a integridade de seus dados e a segurança dos sistemas do Cadastro Único, em conformidade com a Lei Geral de Proteção de Dados (LGPD).

Para verificar sua situação, os beneficiários podem acessar o portal em sigilo.org.br e selecionar a opção “Conferir se tenho direito”, localizada no início da página. É necessário fornecer informações pessoais, como nome completo, e-mail, CPF e número de telefone, além de aceitar os termos de privacidade e uso do site. É importante observar que a consulta informa se a pessoa está incluída na base de dados supostamente comprometida e se é elegível para receber uma compensação. No entanto, isso não implica em um pagamento imediato, pois o processo ainda não foi finalizado. O objetivo principal do portal é informar às pessoas se têm direito a compensações, permitindo que manifestem seu interesse no processo.

É importante destacar que a compensação não é garantida, uma vez que o Instituto Sigilo não é responsável pelos pagamentos. Caso a decisão de compensação seja mantida, cada beneficiário cujos dados foram expostos terá que buscar a execução da sentença ao final do processo, com a assistência de um advogado.

O Instituto Sigilo não divulgou publicamente como obteve acesso à suposta base de dados vazados, embora afirme que as informações coincidem com as dos brasileiros cadastrados no site. Segundo o site, 471 mil pessoas têm direito à compensação. A organização planeja entrar em contato com a Ordem dos Advogados do Brasil (OAB) para cadastrar advogados em todo o país, a fim de fornecer assistência aos associados do instituto para receber as compensações. Devido às diversas opções de recursos legais disponíveis, o resultado da ação é incerto, e um pagamento representaria um precedente único no país.

Publicado em Deixe um comentário

DECISÃO DO STJ: RESPONSABILIDADE DOS BANCOS NA PROTEÇÃO DE DADOS PESSOAIS

A inadequada manipulação de informações pessoais vinculadas a transações e serviços bancários é considerada uma violação na prestação do serviço, pois é responsabilidade das instituições financeiras garantir a confidencialidade desses dados sensíveis. Recentemente, a 3ª Turma do Superior Tribunal de Justiça emitiu uma decisão favorável em um recurso especial, no qual uma cliente caiu no “golpe do boleto” devido ao vazamento de seus dados por parte do banco.

A jurisprudência estabelece diretrizes para determinar quando os bancos podem ser responsabilizados por golpes de engenharia social, usando como base a Lei Geral de Proteção de Dados (LGPD).

Em termos gerais, a responsabilidade das instituições financeiras depende do tipo de informação em posse dos criminosos. Se forem dados genéricos que poderiam ser obtidos de outras fontes, mesmo que sejam considerados sensíveis, não haverá uma conexão causal. Isso ocorre quando os fraudadores utilizam informações como nome, sobrenome, estado civil, profissão, endereço, telefone, origem racial ou étnica, crença religiosa, orientação política, filiação a sindicatos, informações de saúde ou dados biométricos, por exemplo.

No entanto, os bancos podem ser responsabilizados quando os dados usados pelos criminosos estão relacionados às operações financeiras. Geralmente, essas informações são exclusivamente tratadas pelas instituições, que têm o dever de armazená-las com segurança.

A ministra relatora afirmou que “dados pessoais vinculados a operações e serviços bancários são sigilosos, e é responsabilidade das instituições financeiras garantir seu tratamento seguro. O armazenamento inadequado dessas informações, que permite que terceiros tenham acesso a elas e causem prejuízos aos consumidores, constitui uma falha na prestação do serviço”.

No caso específico que foi julgado, uma mulher contratou um financiamento de veículo em uma financeira e optou por quitar a dívida antecipadamente. Ela seguiu as instruções do site da instituição e enviou um e-mail solicitando informações sobre o contrato e o valor devido. Poucos dias depois, uma funcionária da financeira entrou em contato via WhatsApp, informando que havia 32 parcelas em aberto e enviando um boleto de R$ 19,2 mil. A cliente efetuou o pagamento, mas posteriormente percebeu que havia sido vítima de fraude.

O tribunal de primeira instância considerou a dívida quitada, mas o Tribunal de Justiça de São Paulo (TJ-SP) revogou a sentença, argumentando que a fraude ocorreu devido à falta de cautela da consumidora. Alguns indícios incluíam a troca de mensagens informais via WhatsApp e inconsistências no boleto, como o banco e o beneficiário indicados, que eram diferentes dos do contrato de financiamento, além de um número incorreto do documento.

Não era razoável esperar que a cliente percebesse essas discrepâncias, uma vez que a pessoa que a contatou em nome da financeira possuía informações confidenciais sobre ela. Os fraudadores tinham conhecimento de que a mulher era cliente da empresa, que havia enviado um e-mail para quitar a dívida e que tinham informações sobre o financiamento contratado. Essas informações são sigilosas e deveriam ser protegidas pela instituição financeira.

Portanto, se esses dados chegaram ao conhecimento dos criminosos, a responsabilidade da financeira não pode ser descartada devido ao tratamento inadequado dessas informações, o que facilitou a fraude.

Publicado em Deixe um comentário

DECATHLON E BLUENOVE AFETADAS POR VAZAMENTO DE DADOS: PROTEGENDO A PRIVACIDADE DOS FUNCIONÁRIOS

No dia 7 de setembro de 2023, veio à tona a notícia de um significativo vazamento de dados que afetou cerca de 8.000 funcionários da Decathlon, uma gigante do setor de artigos esportivos. A descoberta desse vazamento ocorreu por meio de um post em um fórum ilegal da chamada deep web.

O vazamento em questão incluiu um banco de dados considerável, com um tamanho de 61 MB, que alegadamente estava vinculado à Decathlon. Dentro desse banco de dados, estavam informações pessoais sensíveis, como nomes completos, nomes de usuário, números de telefone, endereços de e-mail e até detalhes sobre os países e cidades de residência dos funcionários afetados. Além disso, informações ainda mais sensíveis, como tokens de autenticação e até mesmo fotografias, também foram comprometidas.

A gravidade do vazamento de dados não se limitou apenas à Decathlon, pois também impactou outra empresa, a Bluenove, especializada em tecnologia e consultoria. A Bluenove confirmou que cópias duplicadas desse banco de dados comprometido estão circulando em fóruns da deep web, o que amplia ainda mais a preocupação em relação à segurança dos dados.

É importante destacar que a autenticidade do banco de dados recentemente compartilhado foi confirmada por meio de verificações adicionais. No entanto, vale mencionar que as amostras dos dados do vazamento original não estão mais disponíveis, devido a políticas de retenção ou outras circunstâncias.

Este incidente ilustra mais uma vez a crescente importância da segurança de dados e da necessidade de empresas e organizações tomarem medidas rigorosas para proteger as informações pessoais de seus funcionários e clientes. Além disso, a disseminação desses dados sensíveis na deep web ressalta os desafios crescentes em lidar com ameaças cibernéticas e a importância de ações proativas para prevenir vazamentos de dados.

Publicado em Deixe um comentário

CAIXA ECONÔMICA E DATAPREV: SUPOSTO VAZAMENTO DE DADOS NO AUXÍLIO BRASIL

A Caixa Econômica Federal e a Dataprev alegam que não houve vazamento de dados no Auxílio Brasil, ao contrário do que alega ação na 1ª Vara Cível Federal de São Paulo, que condenou o banco e a estatal, além da Autoridade Nacional de Proteção de Dados, em multa de R$ 40 milhões e indenização às vítimas. 

Segundo o processo, o vazamento de dados teria ocorrido a partir de bancos de dados mantidos pela Caixa e pela Dataprev, sendo que as vítimas estariam concentradas nos beneficiários do Auxílio Brasil, que, às vésperas da eleição presidencial de 2022, passaram a contar com larga porcentagem do benefício para a contratação de crédito consignado.

O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação, apoiado pelo Ministério Público Federal, alegou que os dados pessoais divulgados ilegalmente acabaram nas mãos de correspondentes bancários, que utilizaram as informações para o oferecimento dos empréstimos e de outros produtos financeiros.

Procurada por esta Convergência Digital; a Caixa avisou que já questiona a sentença do juiz federal Marco Aurelio de Mello Castrianni.

“A Caixa informa que recorreu da decisão. O banco esclarece que não identificou, em análise preliminar, vazamento de dados sob sua guarda e reforça que possui infraestrutura adequada à manutenção da integridade de sua base de dados e da segurança dos sistemas do Cadastro Único, garantindo o cumprimento dos preceitos previstos na LGPD.”

“O banco segue apurando a situação e, caso se constate eventual irregularidade, adotará as medidas cabíveis, com as devidas responsabilizações”, completa a nota da Caixa. 

De forma semelhante, a Dataprev pretende recorrer da decisão e também sustenta que não houve vazamento. 

“A Dataprev irá recorrer judicialmente e ressalta que não reconhece o vazamento de dados citado na ação, tendo em vista que não houve registro desse tipo de incidente em seus sistemas.”

Curiosamente, a decisão também incluiu a Autoridade Nacional de Proteção de Dados (ANPD) como também responsável, pois teria a missão fiscalizadora sobre o tema. 

“O que podemos garantir até o momento é que caberá recurso sobre essa decisão e que a ANPD, só quando formalmente notificada, poderá se manifestar e avaliar quais as providências serão tomadas.”

Publicado em Deixe um comentário

PROTEÇÃO DE DADOS: AUXÍLIO BRASIL E A QUESTÃO DA SEGURANÇA DE INFORMAÇÕES

A digitalização da informação trouxe consigo uma série de benefícios e desafios para a sociedade. Neste cenário está a questão da segurança de dados, evidenciada recentemente pelo incidente envolvendo os beneficiários do programa Auxílio Brasil. A falha de segurança, que afetou aproximadamente 4 milhões de cidadãos, trouxe à tona a discussão sobre responsabilidade institucional e o direito à privacidade.

A decisão da 1ª Vara Cível Federal de São Paulo em determinar uma indenização pela Caixa Econômica Federal e pelo Governo, busca endereçar o dano causado e estabelecer um precedente de responsabilidade. A magnitude da indenização, que pode alcançar um total de mais de R$ 56 bilhões quando considerados todos os pagamentos, reflete a seriedade do ocorrido.

É essencial destacar a importância da segurança de dados em uma sociedade cada vez mais digitalizada. Instituições como a Caixa, Dataprev, Governo Federal e a ANPD têm o dever de garantir a integridade e privacidade das informações que administram. A confiança depositada pelos cidadãos nas instituições, como bem apontado pelo juiz Marco Aurelio de Mello Castrianni, é um bem valioso e deve ser zelado.

As implicações do vazamento não se limitam a exposições indesejadas. Há suspeitas, ainda a serem verificadas, sobre o uso indevido dessas informações em contexto eleitoral. Independentemente do desfecho dessas investigações, é imperativo que as instituições atuem de forma transparente e que mecanismos de controle sejam estabelecidos e aprimorados.

Diante do exposto, o incidente com o Auxílio Brasil serve como um lembrete da necessidade de revisão e fortalecimento de nossos sistemas de segurança de dados. A confiança da população e a integridade das instituições estão em jogo. Ao mesmo tempo, destaca a importância de legislações claras e efetivas sobre proteção de dados, garantindo que os cidadãos estejam protegidos e que as instituições sejam responsáveis pela gestão adequada das informações.

Este é um momento oportuno para reflexão e ação, buscando um Brasil mais seguro e transparente no trato das informações digitais.

Publicado em Deixe um comentário

DESAFIOS DA JURISPRUDÊNCIA: QUANDO UM VAZAMENTO DE DADOS GERA RESPONSABILIDADE

Em um caso recente que tem causado reflexões no meio jurídico, a Justiça de São Paulo decidiu sobre uma situação envolvendo alegado vazamento de dados por uma seguradora. Este caso chama a atenção, em particular, por levantar questões relevantes no contexto da Lei Geral de Proteção de Dados (LGPD) e seus impactos na jurisprudência brasileira.

Uma das questões era se a seguradora deveria ser responsabilizada pelo vazamento de dados de um cliente que, posteriormente, alegou ter sido alvo de estelionatários. O cliente buscou reparação por danos morais, e a questão foi, em primeira instância, decidida em seu favor, com uma indenização estabelecida.

Contudo, ao recorrer da decisão, a seguradora trouxe ao debate dois pontos fundamentais: o caráter dos dados vazados e a comprovação do dano.

O Tribunal avaliou que os dados em questão não se enquadravam no conceito de “dados sensíveis” conforme determina a LGPD. A distinção é fundamental, pois a proteção conferida a esses dados é mais ampla, e sua exposição pode gerar repercussões mais significativas. Neste caso, o entendimento foi que não houve exposição de tais dados e, portanto, não caberia a condenação da empresa nesse aspecto.

Além disso, houve um forte argumento de que a responsabilidade pela exposição dos dados não estava, de fato, com a seguradora. Invasões e vazamentos, por mais indesejáveis que sejam, não são necessariamente reflexo de falhas internas da empresa. É uma discussão que vai além da culpa e adentra a efetiva responsabilização.

O Tribunal entendeu que não houve comprovação de dano efetivo ao cliente. A tentativa de golpe alegada não teve relação direta com o incidente de vazamento, faltando assim o nexo causal entre o vazamento e o suposto dano.

No contexto mais amplo, o caso se alinha a um entendimento crescente sobre a aplicabilidade e os limites da LGPD, bem como a necessidade de uma avaliação criteriosa sobre danos morais em situações de vazamento de dados. A decisão reforça a ideia de que cada caso deve ser analisado de maneira individual, levando em consideração a natureza dos dados, as circunstâncias do vazamento e a real extensão do dano causado.

Publicado em Deixe um comentário

RANSOMWARE E INOVAÇÃO: COMO O CLOP REDEFINIU ATAQUES RANSOMWARE

Em um ambiente digital em constante mudança, a inovação das táticas de cibercrime é um lembrete da necessidade de evolução constante na segurança cibernética. Recentemente, uma notável gangue de ransomware demonstrou exatamente isso ao explorar uma falha em uma famosa plataforma de transferência de arquivos, afetando centenas de organizações ao redor do globo.

Enquanto a prática comum é usar a rede Tor – conhecida por seu anonimato, mas limitada por sua baixa velocidade de download – esta gangue buscou um caminho mais eficiente. A tentativa inicial foi lançar sites na internet convencional, uma tática rapidamente frustrada pela atuação das autoridades.

Ao distribuir informações roubadas através de múltiplos pontos de distribuição, esta abordagem descentralizada torna quase impossível parar a propagação dos dados. Esta é uma evolução que eleva a ameaça para um novo patamar.

Se essa tática for amplamente adotada, pode representar uma virada de jogo para o mundo do cibercrime. Ransomwares e outras ameaças podem se tornar ainda mais perigosas, tornando o combate ao cibercrime mais complexo.

Enquanto especialistas e profissionais da área, devemos estar sempre alertas, compreendendo as tendências emergentes e nos adaptando rapidamente. E, para as instituições e empresas, é importante reforçar: no mundo da cibersegurança, antecipar-se aos problemas é a chave para a proteção.

Publicado em Deixe um comentário

POLÍCIA DETÉM INDIVÍDUOS QUE NEGOCIAVAM INFORMAÇÕES DE MINISTROS DO STF, GOVERNADORES E DEPUTADOS NO MERCADO ILEGAL

O atributo alt desta imagem está vazio. O nome do arquivo é image.png

Governador do DF, Ibaneis Rocha, teve dados vazados; além de autoridades, 200 milhões de brasileiros foram expostos

A Polícia Civil do Distrito Federal (PCDF) realizou no dia 20/06 a prisão de dois criminosos virtuais responsáveis pela venda de pacotes contendo informações confidenciais de mais de 200 milhões de cidadãos brasileiros.

Entre as vítimas estão ministros do Supremo Tribunal Federal (STF), governadores e deputados tanto do Distrito Federal como a nível federal. A perícia conduzida pelo Instituto de Criminalística da PCDF confirmou o vazamento de dados do governador do DF, Ibaneis Rocha (MDB).

A investigação teve início na delegacia do Lago Norte, bairro nobre de Brasília, após a análise de 100 inquéritos de pessoas que foram vítimas de golpes ao longo de um ano. Segundo informações fornecidas pelos policiais, o vazamento de informações pessoais facilitou as ações dos golpistas.

Entre as informações ilegalmente compartilhadas encontram-se números de telefone celular, endereços residenciais e de e-mail, fotos e até mesmo assinaturas digitalizadas. Além disso, os grupos obtinham dados de empresas e veículos registrados em nome das vítimas, bem como informações sobre seus parentes e vizinhos.

A PCDF afirma que os criminosos também tinham acesso às câmeras de OCR (leitura de placas), o que lhes permitia rastrear os últimos deslocamentos das vítimas nas estradas de todo o país, possibilitando o monitoramento de suas rotinas.

Com a prisão de diversos golpistas, a PCDF descobriu que esses dados estavam sendo comercializados na darknet (a parte oculta da internet) por meio da aquisição de acesso a “painéis de consulta”.

Os valores pagos variavam de R$ 7 a R$ 350, dependendo da duração do acesso (7, 15 ou 30 dias). A investigação revelou que 1.453 usuários adquiriram esse tipo de pacote.

“A investigação comprovou que esses painéis são a fonte de informação para os criminosos, que selecionam as vítimas e elaboram estratégias para enganá-las”, explicou o delegado responsável pelo caso, Erick Sallum.

Agora, os investigadores buscarão determinar a origem do que consideram ser um dos maiores vazamentos de dados na história do país e como os autores obtinham acesso a informações confidenciais da população brasileira, em especial o hackeamento das câmeras de reconhecimento de placas.

“Encontramos fortes indícios de que grande parte dessas informações é proveniente de invasões a órgãos públicos. No entanto, também detectamos uma atividade ilegal por parte de empresas fictícias de proteção de crédito. Contrariando a Lei Geral de Proteção de Dados (LGPD), dados pessoais da população brasileira estão sendo vendidos em larga escala clandestinamente, sem critérios para sua destinação”, afirmou o delegado à CNN.

É importante ressaltar que o armazenamento de dados pessoais em massa sem razões, é contra os princípios da LGPD. Muitos cibercriminosos obtém tais fontes de dados devido à vazamentos aos quais ocorreram em 2021: https://www.cnnbrasil.com.br/economia/fotos-e-ate-salarios-estao-entre-os-dados-vazados-de-223-milhoes-de-brasileiros/