Sabemos que nossos dados precisam estar seguros, pois indicam muitas informações que podem ser usadas por pessoas mal intencionadas. Verifica-se um aumento constante nas reclamações de pessoas que tiveram contas de redes sociais invadidas, contas bancárias criadas e até mesmo financiamentos contratados por estelionatários, por isso, resolvemos escrever esse artigo. Nele vamos explicar como ocorre o vazamento de dados e como você pode se precaver.
Muito tem-se ouvido falar em vazamento de informações pessoais, proteção à informações pessoais e ataques constantes a base de dados de empresa e órgãos governamentais.
Mas você, leitor, sabe o que isso realmente significa?
O artigo de hoje terá diversos termos "técnicos" que fazem parte do mundo dos dados, portanto, se você for leigo no assunto, não se preocupe, vamos explicar direitinho o que se tratam os referidos termos. Além disso, vamos abordar como as leis tratam a proteção de dados pessoais e, por fim, como você pode se precaver de ter seus dados vazados.
O que são vazamentos de dados?
Cada vez mais os dados pessoais fornecidos na internet ganham relevância, por isso, criam-se leis para a proteção dessas informações disponibilizadas, a fim de responsabilizar aqueles que utilizam dessas informações como um meio de renda.
Recentemente, o Banco Central, divulgou o vazamento de mais de 160 mil chaves Pix, dados obtidos através do vazamento do banco de dados da Acesso Soluções de pagamentos.
Mas afinal, o que é um vazamento de dados?
Os vazamentos de dados são, basicamente, divulgações não autorizadas, de forma criminosa ou não, de informações pessoais.
Muitos devem estar se perguntando, "qual o problema se meus dados forem amplamente divulgados, afinal, já informo muitos dados nos meus perfis de Rede Social?"
Ocorre que, como a titulo da noticia acima, muitas vezes os dados divulgados não são apenas datas de nascimento e nomes completos, mas sim, de informações importante, tais como números de CPF, RG, endereço, rendimentos econômicos, e até mesmo informações sobre a sua saúde.
Ocorre que, esses vazamentos quase nunca ocorrem, exclusivamente, por simples “enganos”, ou falhas daqueles que detém os dados pessoais.
Na verdade, na grande maioria das vezes, os vazamentos acontecem por meio de atividades criminosas, aliadas ou não, às eventuais falhas de segurança dos sistemas de informação nos quais se encontram as informações pessoais.
E mais, outras vezes, ainda, os criminosos conseguem extrair essas informações da própria pessoa, sem que ela, nem mesmo, desconfie que está sendo vítima de um golpe.
Nesses últimos casos, inclusive, os cibercriminosos podem, até mesmo, não utilizar nenhum programa de computador sofisticado, ou invadir bases de dados confidenciais.
A bem da verdade, eles podem apenas se utilizar de informações já existentes sobre a pessoa, na internet, ou ainda, informações pessoais públicas, para induzir a vítima ao erro, e, assim, adquirir alguma vantagem. É a chamada engenharia social.
Podemos resumir o conceito de engenharia social como uma série de mecanismos que os criminosos utilizam para obter dados pessoais da vítima, sem que seja necessária a utilização de aparatos tecnológicos específicos, ou grande conhecimento em informática e/ou sistemas de informação.
Podemos citar como principais “meios” da engenharia social, utilizados pelos cibercriminosos, a criação de falsas expectativas na vítima, utilização de informações já conhecidas (públicas, ou não) em um determinado contexto, ou mesmo, fazer a vítima crer, através de diversos recursos, em uma situação que não é real.
Como exemplo cotidiano, podemos citar aqueles e-mails com falsas promoções nas quais fomos contemplados, ou links desconhecidos de “bancos” que sequer possuímos conta, que encontramos em nossas caixas de spam.
Além disso, quem não se lembra daquela famosa frase, ao entrar em um site desconhecido: “Parabéns, você foi a milésima pessoa a acessar o nosso site! Insira suas informações para enviarmos um iPhone de última geração para sua casa!”.
Contudo, apesar de esse último exemplo de ação, hoje, não surtir tanto efeito, existem criminosos que podem observar por dias, e até meses, suas vítimas, a fim de obter informações necessárias à ação criminosa.
Como exemplo, podemos citar um cibercriminoso que cria vagas de emprego falsas em sites especializados. Recebendo o currículo de várias pessoas, ele possuirá, de início, diversas informações para, futuramente, induzir as vítimas a informarem outros dados pessoais para a suposta entrevista de emprego, ou contratação, que, obviamente, nunca acontecerá.
"Como eu posso fazer para me proteger se eu estou sujeito a ter meus dados roubados, até mesmo, em anúncios de emprego?!”
E é pensando em você, caro(a) leitor(a), que separamos alguns meios frequentes pelos quais os cibercriminosos tentam, e conseguem, roubar dados pessoais. Afinal, nada melhor para se prevenir, do que conhecer o inimigo, certo?
1. Ransomware
Ransomware é um tipo de vírus que pode se infiltrar no computador/celular de diversas maneiras, desde o acesso a links maliciosos a até a instalação de programas e aplicativos contaminados.
Seu método de ataque, geralmente, não é direcionado, mas sim, aleatório.
“Como assim, aleatório?”
Diferentemente de ataques direcionados, isto é, ataques hackers a uma pessoa em específico, como exemplificamos anteriormente com a engenharia social, o ransomware é criado, e “lançado” na rede, e, de diferentes formas, começa a contaminar os computadores das pessoas.
O cenário mais comum quando o computador é contaminado com esse tipo de vírus, é que a pessoa fique sem ter acesso a seus arquivos, base de dados, e, possivelmente até parte do sistema operacional, tendo em vista que o ransomware encripta todos os dados do computador, ou rede de computadores.
Em outras palavras, de modo mais simples, o vírus coloca uma “senha” (criptografia) no(s) computador(es) contaminado(s), que impossibilita a pessoa de utilizar o aparelho, ou base de dados.
“Qual a vantagem disso para o criminoso?
No caso dos ransomwares, o próprio vírus sinaliza a ação criminosa para o usuário, e, após, passa a exigir determinada quantia financeira para desfazer o “estrago”. Enquanto o usuário não paga a quantia exigida, o computador não é “liberado”.
De modo ainda mais simples, é o mesmo que dizer que o vírus faz seu sistema, ou base de dados, “refém”, tendo em vista que, a partir da contaminação, para se ver livre do ransomware, e ter seus dados “de volta”, o usuário precisa pagar esse “resgate”.
Daí, inclusive, que surgiu a nomenclatura desse tipo de ataque, pois ransom, em inglês, significa resgate.
Um exemplo real de ataque deste tipo de vírus, que, inclusive, causou um grande prejuízo, foi aquele registrado pelo Superior Tribunal de Justiça (STJ), em 03 de novembro de 2020, no qual o ransomware “RansomExx” encriptou toda a base de dados do Tribunal, se espalhando, inclusive, até o Ministério da Saúde.
Para se ter ideia da gravidade, o Superior Tribunal ficou com seus sistemas completamente parados por cerca de 10 dias, e, por consequência, com todos os processos suspensos, até que, em 14 de novembro daquele ano, retornou com parte de suas funções.
Contudo, esse não é o único caso de ataques dessa forma. Na verdade, têm crescido, e muito, os ataques cibernéticos em face de órgãos governamentais e empresas.
“ E eu, que sou empresário(s). Como faço para prevenir esses tipos de ataque contra minha empresa?”
Uma das principais dicas, para sua empresa, é a contratação de alguém especializado em Tecnologia da Informação, o famoso TI, especializado em cibersegurança.
Por mais que existam os hackers que atuam de modo criminoso, existem muitos outros que atuam em favor da segurança, e privacidade digital, seja para figuras públicas, governos e empresas. São os chamados hackers éticos.
Esses profissionais, por meio de empresas de cibersegurança, poderão auxiliar melhor sua empresa, com mudanças técnicas a fim de impedir, ou dificultar, o sucesso desses ataques criminosos.
"É possível realizar alguma ação judicial?”
Não só pode, como deve! Por isso, fique conosco no artigo, que vamos te contar um pouco mais, logo abaixo, sobre medidas jurídicas que você pode colocar em prática para se resguardar de acontecimentos como o que aconteceu no STJ.
2. Spyware e Keylogger
Spy, em inglês, é espião.
Assim, o Spyware é o tipo de vírus que, após instalado, começa a espionar a atividade da vítima no seu dispositivo, podendo ter acesso a diversos dados do usuário, como aplicativos instalados, informações pessoais salvas no dispositivos, e especificações do aparelho, e quaisquer outras, a depender do próprio programa.
Contudo, diferentemente do ransomware, ele não se “manifesta” no computador da pessoa para exigir um pagamento.
O spyware pode permanecer oculto no sistema, só à espreita, ou, também, se passar por um programa confiável e com várias funcionalidades, observando e captando, por outro lado, de modo oculto e indevido, suas informações, como um verdadeiro… espião.
O keylogger possui um funcionamento parecido quanto a se manter “camuflado/escondido” no sistema, contudo, por outro lado, ele possui uma mecânica bem diferente: ele monitora, tão somente, as teclas pressionadas do computador.
Não pense, contudo, que por monitorar “apenas” as teclas que você digita, ele é menos perigoso, ou menos efetivo em roubar suas informações!
Imaginemos, por exemplo, que você vai acessar uma loja online para comprar uma linda e bela camiseta que você gostou.
Logo, o keylogger registrará o endereço do site, e, após, os seus dados de login e senha.
E para piorar, se você não possuir um cartão de crédito já cadastrado no seu perfil do site, o criminoso terá acesso a todas essas informações, tendo em vista que você precisará digitá-las, podendo fazer inúmeras compras e transações futuras.
Assim, apesar de também poder ser utilizado para extorquir as pessoas, esses vírus são geralmente utilizados para fazer com que os cibercriminosos tenham acesso a dados bancários, e/ou financeiros das pessoas, e, assim, efetuar operações e compras indevidas, em nome da vítima.
Os reflexos não poderiam ser diferentes no âmbito das empresas, seja em relação aos spywares, ou keyloggers.
Então, é importante sempre manter diretrizes muito claras entre todos os colaboradores, administradores, e todos que trabalham, direta ou indiretamente, para o funcionamento da atividade, acerca dos procedimentos de segurança digital a serem colocados em prática diariamente na empresa.
3. Phishing, Vishing e Smishing
Phishing é uma técnica na qual o criminoso usa falsos sorteios e eventos, por exemplo, para extrair dados pessoais e/ou confidenciais da vítima.
Um exemplo clássico desse tipo de ação é aquele e-mail do seu “banco”, enviado de um destinatário duvidoso, que pede para você colocar sua conta e senha, para um suposto recadastramento.
O grande perigo desses tipos de ação, na atualidade, é que elas têm sido cada vez mais convincentes, chegando a, até mesmo, colocar o nome, ou números de documentos, do titular do e-mail no corpo do texto, se passando por terceiros idôneos que teriam acesso àquelas informações, como, por exemplo, seu banco.
Não se engane, e sempre tenha um “pé atrás” nessas situações. Se você ficou com alguma dúvida sobre a idoneidade do e-mail, por exemplo, não acesse nenhum link ou conceda informações solicitadas.
Entre em contato, primeiramente, com a empresa, banco, ou pessoa, que teria, realmente, lhe enviado o e-mail para checar a veracidade do pedido.
“No e-mail estava o meu número de CPF!!! Como poderia não ser o banco?”
Você se lembra que falamos no início do artigo, que vazamentos de dados têm sido cada vez mais comuns?
Pois é! Muitos desses dados utilizados no phishing são obtidos através de outros vazamentos de dados.
Além de oferecer uma vantagem, os cibercriminosos também podem se utilizar de outra “malandragem”, para a prática do phishing, voltada a ludibriar a vítima por meio do próprio endereço de e-mail, ou site, do remetente ou proprietário, fazendo se passar, assim – o criminoso -, por outra pessoa.
“Mas o endereço de e-mail, e site, não são únicos? Como pode uma pessoa criar um e-mail, ou site, idêntico a outro que já existe?”
Na verdade, o criminoso não cria um e-mail, ou endereço de site, idêntico, mas um que, na aparência, se passa por um destinatário confiável.
Para isso, por exemplo, são criados e-mails com provedores que se passam por nomes de empresas idôneas, mas que, na verdade, em nada se confundem com elas.
Um exemplo? Vejamos os dois endereços de e-mail abaixo:
fulano@mayeradvogados.adv.br
fulano@mayeradvogados.com
Aparentemente, os dois e-mails são da mesma pessoa, e empresa, não é mesmo?
Contudo, não são!
Para criar esses endereços, os cibercriminosos contratam serviços de provedores de e-mail, e registram endereços muito parecidos com de empresas conhecidas e idôneas, de modo que, uma pessoa desavisada, ou que não tenha conhecimento sobre os canais de contato reais, pode acabar por, facilmente, acreditar se tratar de uma comunicação oficial.
E o que é vishing e smishing?
Vishing e smishing são duas modalidades de phishing, se diferenciando, tão somente, pelo meio em que são utilizadas.
Enquanto o phishing é aplicado através de e-mails e sites, por exemplo, o vishing se dá por meio de contato telefônico, e o smishing, por mensagens SMS.
Reforçamos: sempre que houver uma dúvida no momento de qualquer contato, não ceda informações pessoais, ou efetue, de pronto, pagamentos ou transferências bancárias.
Sempre tenha a premissa de que, nessas situações, um criminoso possa estar buscando extrair informações, ou valores, de você.
E fique com a gente até o final do artigo que traremos várias outras dicas especiais para evitar ser vítima desses ataques.
E o que as leis falam sobre esses vazamentos/roubos de dados?
“Ainda bem que a LGPD veio pra resolver isso!”
Na verdade, não.
Isso porque, a LGPD – Lei Geral de Proteção de Dados -, amplamente divulgada ultimamente, não estabelece punições para essas ações criminosas.
A LGPD estabelece diversos princípios a serem seguidos por aquelas empresas, organizações, e governos, que realizam o tratamento de dados pessoais, e, ainda, as diretrizes-base para que este tratamento ocorra de forma mais pacífica e respeitosa possível.
Contudo, em nenhum momento, ela estipula penas aos cibercriminosos.
É verdade que ela estabelece sanções, incluindo, até mesmo, multas milionárias. Entretanto, essas punições são voltadas aos agentes que tratam dados pessoais (empresas, organizações, etc), quando seja evidenciada alguma violação às diretrizes de tratamento de dados, em decorrência de culpa destes responsáveis.
Vale citar que a Lei (art. 44) considera como irregular o tratamento de dados, até mesmo quando ele deixe de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar.
Assim, constata-se que a violação das informações, decorrente, inclusive, da omissão do agente de tratamento, é suficiente para a aplicação de uma punição.
Vale mencionar, ainda, que a própria LGPD (art. 43, III) estipula que os agentes de tratamento poderão não ser responsabilizados quando demonstrem que a violação tenha decorrido da culpa exclusiva de terceiro – no contexto deste artigo, os cibercriminosos.
Contudo, é importante reforçar que, se a violação decorrer, também, de uma omissão na segurança do agente de tratamento de dados, isso é, se ele não empreender o mínimo esforço para proteger os dados pessoais de sua base, poderá ser responsabilizado com as diversas punições estabelecidas na LGPD.
“Afinal, quais são exatamente, essas punições?”
Além da obrigação de reparar todo e qualquer dano patrimonial/moral, seja individual ou coletivo (art. 42), daqueles que foram lesados pelo vazamento de dados, a LGPD estipula como sanções administrativas (art. 52):
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total acima estabelecido;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Também é importante destacar que as multas, quando se fazem necessárias, não são destinadas aos titulares dos dados vazados, mas sim, para os cofres públicos.
Contudo, como já mencionado, nada impede que o titular do dado que se sinta lesionado ingresse judicialmente com um processo contra o agente de tratamento que violou, omissiva ou comissivamente, a LGPD, tendo em vista que a própria Lei estabelece o dever de reparo, em caso de algum dano.
“Mas, foi mencionado que se a culpa fosse exclusiva do hacker, o agente de tratamento não poderia ser punido, não é isso? E aí?”
Sim, isso mesmo! O agente de tratamento dos dados não poderá ser punido se tiver adotado todas as medidas de segurança possíveis ao seu alcance, e, mesmo assim, um terceiro tenha invadido seu banco de dados, roubando diversas informações pessoais de clientes, por exemplo.
Nesse caso, estaremos diante de uma situação que foge à LGPD.
Isso porque, estaremos diante de um crime, sendo necessária a abertura de uma investigação policial, e, também, o ingresso de uma ação judicial para apurar eventuais danos (materiais e/ou morais) ao titular dos dados vazados/roubados.
O crime cometido, neste caso de invasão, é aquele estipulado pelo art. 154-A, do Código Penal, denominado de “crime de invasão de dispositivo informático”, sendo a sua pena, reclusão de 1 a 4 anos, e multa.
E mais! Se o crime:
- Resultar em prejuízo econômico, a pena é aumentada de 1/3 a 2/3;
- É cometido com a obtenção de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, ou o controle remoto não autorizado do dispositivo invadido, a pena passa a ser de 2 a 5 anos de reclusão, e multa;
- Divulgar as informações eletrônicas privadas, segredos comerciais ou industriais, e demais dados a que se refere o item anterior, a pena – 2 a 5 anos – poderá ser aumentada de 1/3 a 2/3;
- For cometido contra o Presidente da República, Presidente do STF, Presidente da Câmara dos Deputados, Senado Federal, Assembleia Legislativa dos Estados, Câmara Legislativa dos Estados, ou Distrito Federal, e Câmaras Municipais, e ainda, dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal, a pena poderá ser aumentada de 1/3 até a metade.
“Mas, e se o titular dos dados não foi invadido, mas caiu em um dos “golpes” que vimos lá no começo do artigo, como, por exemplo, no phishing e suas outras modalidades?”Bom, se esse for o caso, o criminoso poderá ser processado criminalmente pelo cometimento de estelionato, e outros delitos, a depender da própria situação.
Contudo, independentemente das hipóteses criminais de responsabilização, é possível que o titular dos dados mova uma ação civil de reparação, pelos eventuais danos materiais e morais sofridos.
Por outro lado, se houver o conhecimento de que o cibercriminoso já se encontra sendo processado, também é possível aguardar o fim desta ação criminal, para que, após, seja executada a sentença deste processo na esfera civil, a fim de que seja exigida a reparação devida.
Neste caso, estaremos diante de uma ação civil ex delicto, sendo a sua “vantagem”, não ter de aguardar uma eventual condenação pelo fato ilícito, ou seja, não haverá de se comprovar o cometimento do ato danoso em si.
Assim, o juiz da esfera civil deverá, apenas, arbitrar eventuais indenizações, sendo incontroverso o fato lesivo propriamente dito.
Em qualquer situação – sendo o vazamento de dados ocasionado por culpa do agente de tratamento de dados, ou por alguma invasão criminosa – o processo civil se orientará pelas regras comuns, ou seja, tal como se fosse, por exemplo, uma ação de reparação por danos de acidente de trânsito, não havendo nenhuma outra diferença na comprovação do dano.
“Fiquei sabendo que alguns dados pessoais meus estão sendo repassados por uma empresa, para outras, sem a minha autorização. Contudo, não houve nenhum dano até o momento que justifique eu ‘entrar com um processo’. O que devo fazer?”
O ideal, de imediato, seria você, titular do dado, elaborar uma notificação extrajudicial e enviá-la à primeira empresa, que está violando os seus direitos.
Formalizada a comunicação, e, não havendo sido identificada qualquer alteração pela empresa notificada, ou ainda, não havendo nenhuma resposta dela sobre o caso, você poderá apresentar uma reclamação na ANPD – Agência Nacional de Proteção de Dados.
Contudo, para isso, ressaltamos a necessidade de que seja comprovada a comunicação prévia com a empresa, tendo em vista que é um requisito obrigatório estipulado pela ANPD.
Vale esclarecer, ainda, que essa reclamação pode ser realizada através do próprio site da Agência.
Ressaltamos, ainda, a recomendação de que ambos os procedimentos sejam conduzidos pelo seu advogado de confiança, tendo em vista que o profissional qualificado saberá melhor identificar, e, enquadrar legalmente, todas as possíveis violações aos direitos estabelecidos pela LGPD.
Realizada a reclamação, a ANPD tomará as medidas necessárias para corrigir eventual falha no processo de tratamento de dados da empresa, inclusive, aplicando algumas das punições que mencionamos anteriormente, caso seja necessário.
“Comigo está tudo certo: meus dados estão sendo respeitados, minha empresa já está adequada à LGPD, mas tenho muito receio dessas ações criminosas! Existe algo que eu possa fazer para dar uma maior segurança jurídica para o meu negócio?”
Sim, caro(a) leitor(a), existe! E este instrumento é o Compliance!
Contudo, para situarmos a possibilidade de utilização do compliance para regular aspectos de segurança digital, vamos a um breve resumo sobre essa importante ferramenta empresarial.
Compliance significa, em uma apertada explicação, “estar de acordo com a lei”.
Assim, compliance é um instituto adotado pelas empresas para criar uma organização interna sólida e respeitada, a fim de evitar e punir situações inidôneas, diminuir riscos de passivos e estipular normas de gerenciamento, por exemplo.
São diversos os “tipos” de compliance existentes, a depender do enfoque a ser considerado em cada um. Assim, temos, por exemplo, ramificações como o compliance trabalhista e tributário.
Para “estar de acordo”, são elaborados diversos documentos que fazem parte do programa de compliance, dentre os quais, destacamos o código de conduta e política de procedimentos e normas internas.
Se você já possui um programa de compliance estruturado, pode implementar todos os procedimentos técnicos preventivos que uma consultoria em cibersegurança lhe proporcionará, nos seus próprios pilares de compliance.
Por outro lado, se lhe julgar mais conveniente, poderá criar um próprio código, ou manual, de conduta a ser praticado por todos da empresa, quando estejam lidando com situações específicas que lhe tragam vulnerabilidade digital, estas que podem ser constatadas pela consultoria especializada.
Sabe qual outro documento é fundamental para a elaboração de um programa de compliance bem estruturado? A Política de Privacidade!
E assim chegamos ao fim de mais um estudo, onde abordamos o vazamento de dados pessoais, onde explicamos o que é o vazamento de dados e como ele ocorre, além de explicar as principais formas que os cibercriminosos utilizam para obter esses dados e como podemos nos proteger. Elencamos ainda, o que a LGPD aborda sobre o tratamento e a proteção dos dados sob responsabilidade de determinada pessoa ou empresa. Caso ainda tenha alguma dúvida sobre o assunto, entre em contato conosco! Nossa equipe estará preparada para lhe auxiliar.
