Read, hack, repeat

Precisamos falar sobre disclosure responsável de vazamentos

Ramon de Souza

Meio que deu ruim para a PSafe, famosa empresa brasileira que ganhou renome desenvolvendo localmente soluções de proteção para endpoint (antivírus, especialmente para dispositivos móveis). A companhia foi notificada pelo Procon-SP a respeito de seu disclosure feito sobre o suposto megavazamento de 220 milhões de CPFs e outros dados pessoais de cidadãos brasileiros.

A marca deverá responder como foi informada sobre o vazamento, o que a motivou a torná-lo público, como foi feito o contato com o cibercriminoso, quais informações foram expostas e se o incidente se limita a dark web.

A PSafe vem sofrendo uma série de críticas de outras empresas e especialistas do mercado por ter feito um disclosure, digamos, relativamente prematuro e sem qualquer tipo de coordenação, o que pode ter causado mais comoção do que resoluções. Essa atitude pode ter sido fruto de uma mudança repentina na estratégia de comunicação da marca, que decidiu investir em soluções corporativas (B2B).

Em um blogpost publicado no site de sua empresa, Alexandre Sieira, CEO da Tenchi Security, afirma que “chama a atenção é [o fato de] que os blog posts não são descrições técnicas do que ocorreu, nem apresentam qualquer evidência do que está sendo alegado". Para Sieira, disclosures como esses causam pavor na população e alertam os cibercriminosos, que podem passar a esconder e destruir evidências.

Outro impacto negativo é a possível responsabilização errônea das partes envolvidas no incidente. A Serasa, principal “suspeita” de ter permitido o vazamento, prossegue negando ter encontrado qualquer evidência de invasão aos sistemas.

“Em certo momento um deles diz que ‘A maneira com que os dados foram obtidos ainda não são claras para nossa equipe’. O que se vê, contudo, é um discurso de vendas e marketing de um produto da empresa”, critica Sieira. Em contato com a nossa equipe, o especialista ressaltou que esse tipo de atitude pode ser danosa não só ao mercado em geral, como também para os próprios negócios da PSafe.

Em uma descrição do incidente, outro famoso executivo da área de segurança (que preferiu se manter no anonimato) escreveu: "O desserviço que essas ‘descobertas’ (com ironia) causa na sociedade é incalculável. A indústria (a parte séria) de segurança da informação já acompanha de perto todos os vazamentos históricos. As redes são continuamente monitoradas para identificar rapidamente qualquer tipo de vazamento, principalmente os que expõe dados de pessoas físicas. A internet guarda esse histórico e muitas vezes, fraudadores os organizam em grandes bases de dados. Os vazamentos se acumulam e são enriquecidos com dados de outros vazamentos".

O desserviço que essas ‘descobertas’ (com ironia) causa na sociedade é incalculável

E prossegue: "Esse tipo de informação deve ser interpretada pelas áreas responsáveis e especializadas, pelos profissionais, empresas de monitoração e principalmente autoridades competentes. A divulgação apocalíptica desses pseudos mega vazamentos, com pouco ou nenhum contexto técnico, causa um dano nos esforços de conscientização geral no tema de proteção e privacidade de dados.  É lamentável que empresas adotem caminhos assim para promover a sua marca no mercado. O ‘tiro’ certamente sairá pela culatra já que quem consome os serviços e produtos de ciber segurança, somos nós, os gestores de SI nas organizações".

Procurada pela The Hack, a PSafe — que agora atende como Grupo CyberLabs, após fusão com tal companhia especializada em inteligência artificial — e a empresa nos enviou o seguinte posicionamento oficial:

O Grupo CyberLabs, formado pela fusão entre a empresa de ciberseguranca PSafe e a startup de inteligência artificial CyberLabs, informa que identificou os recentes possíveis incidentes de segurança a partir do uso de Inteligência Artificial aplicada à cibersegurança.

O Grupo comunicou as autoridades e vem colaborando com as investigações, assim como mantém contato com a Autoridade Nacional de Proteção de Dados (ANPD) no sentido de contribuir para a identificação e apuração de casos de vazamentos de dados no ambiente digital.

E você, qual é a sua opinião a respeito dessa situação?


Fonte: PSafe, Security Report, Tenchi Security

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.