Nem tivemos tempo para respirar e absorver todas as desgraças ocorridas em 2020 — o Brasil inteiro entrou em frenesi no dia 19 de janeiro deste ano, depois que diversos veículos de comunicação começaram a noticiar aquele que seria o maior vazamento de dados da história do país. Um criminoso estaria comercializando, através de um fórum da surface web, dados pessoais de mais de 223 milhões de cidadãos — incluindo aqueles que já faleceram — e até mesmo liberou algumas amostras gratuitas do database.
- Precisamos falar sobre disclosure responsável de vazamentos
- Não somos polícia para investigar vazamentos, diz diretor presidente da ANPD
- Empresa declara falência após sofrer vazamentos de dados
A Agência Nacional de Proteção de Dados (ANPD) solicitou investigações a respeito do incidente, sobretudo direcionadas à Serasa, visto que alguns elementos do banco de dados oferecidos faziam menção à bureau de crédito — mesmo que a empresa, desde o princípio, negava veementemente ter qualquer relação com a exposição. Ações da Polícia Federal culminaram na prisão de dois suspeitos: o mineiro Marcos Roberto Correia da Silva ("Vandathegod") e o pernambucano Yuri Batista Novaes (“JustBR”).
De lá para cá, o “megavazamento” — como ficou conhecido — virou notícia para jornais nacionais e internacionais, além de eternas discussões sobre privacidade de dados, Lei Geral de Proteção de Dados (LGPD), eficiência da ANPD e orientações ao público final sobre como se proteger contra eventuais fraudes de falsidade ideológica. Porém, o que muitos não estão se atentando é que, no fim das contas, é possível que tal “megavazamento” jamais tenha existido.
Dados no microondas
First things first. Conforme a The Hack explicou em sua newsletter disparada no dia 22 de fevereiro, a PSafe — empresa brasileira que identificou a venda dos dados e alertou a mídia — passou a sofrer uma série de críticas do mercado por ter feito um disclosure pouco apropriado se levarmos em conta os padrões do setor. A companhia não investigou a fundo o vazamento, limitando-se a elaborar um comunicado para a imprensa que causou mais pavor e dúvidas do que soluções propriamente ditas.
Na época, um executivo C-level de segurança da informação (que preferiu se manter no anonimato) afirmou, com exclusividade: “A divulgação apocalíptica desses pseudos mega vazamentos, com pouco ou nenhum contexto técnico, causa um dano nos esforços de conscientização geral no tema de proteção e privacidade de dados. É lamentável que empresas adotem caminhos assim para promover a sua marca no mercado”. A matéria pode ser lida na íntegra neste link.
O que acontece é o seguinte: é antiético concluir, sem as devidas investigações, que um banco de dados oferecido por um criminoso anônimo é de fato um vazamento inédito. Visto que esses meliantes virtuais lucram com a venda desses databases, é perfeitamente natural que eles compilem diversas exposições diferentes para criar uma coleção de maior porte e ofertá-la no “mercado” para chamar a atenção do público. No processo, bastaria inserir um ou dois PDFs de uma empresa privada para culpá-la pelo incidente.
Em uma pesquisa realizada em um grupo proprietário que reúne dezenas de CISOs (Chief Information Security Officers ou Gerentes de Segurança da Informação), a The Hack constatou que, para 57% dos profissionais da área, a maior parte do “megavazamento” deve ser composta por material antigo enriquecido com poucos dados inéditos. Já 40% crê que o banco de dados não tenha nada de novo, sendo uma compilação de vazamentos conhecidos; apenas 3% dos entrevistados acreditam que, de fato, a exposição seja nova.
É um vazamento… Mas é novo?
Em entrevista concedida à The Hack, Alexandre Sieira, CEO da Tenchi Security, afirmou que o simples fato de que existem menções à Serasa no database não são provas o suficiente de que a companhia foi invadida. “Alguém pode ter comprado essas informações de forma legítima da Serasa há anos atrás, você pode ter um parceiro da Serasa que tenha acesso a essas informações ou até mesmo um cliente da empresa com acesso aos dados”, explicou o executivo, em uma rápida conversa por telefone.
“Há um monte de cenários possíveis, e nenhuma das evidências apresentadas nas matérias jornalísticas ou publicações da PSafe te permitem saber se algum desses aconteceu. De novo, pode ser uma combinação, uma junção de três ou quatro vazamentos, cada um de um tipo diferente”, afirma Sieira. “Vimos manchetes dizendo ‘novo vazamento’. Não temos evidências para saber se houve vazamento e se ele é novo. Podem ser só dados requentados de bases anteriores", conclui.
Sieira comenta ainda que as empresas que foram associadas ao “vazamento” sem qualquer embasamento técnico foram abordadas por diversas autoridades, criando toda uma situação que gerou constrangimento e impactos sem saber se elas estão mesmo envolvidas na situação. Ademais, o especialista demonstra preocupação com o fato de que o mercado negro de dados pessoais existe há anos — inclusive na surface web, como o próprio fórum no qual o database foi disponibilizado e em grupos do Facebook.
“Existe uma investigação consistente sobre isso para reprimir os criminosos? As autoridades policiais têm as ferramentas para conseguir ir atrás dessas pessoas? Não deveríamos focar em um determinado conjunto de dados que está sendo vendido, mas sim se existe uma ação coordenada das autoridades para desestimular esses anúncios públicos? A partir do momento em que alguém vender dados pessoais ilegalmente e tiver uma chance maior do que zero de ser preso, teremos menos gente vendendo”, finaliza.
Interesse de quem?
Coincidentemente, na última quarta-feira (24), a 22ª Vara Cível Federal de São Paulo negou uma liminar que obrigava a Serasa a notificar seus clientes a respeito do megavazamento, justamente pela falta de provas de que a companhia está envolvida no incidente. “Somente após as comprovações necessárias será possível determinar o cumprimento do dever legal de comunicação aos titulares acerca do incidente de vazamento de dados”, apontou o juiz José Henrique Prescendo, responsável pelo julgamento.
A grande questão agora é: se o megavazamento realmente for uma coleção de dados requentados, a quem interessaria a disseminação desse conteúdo? Podemos trabalhar com apenas duas hipóteses: ao criminoso (que lucrará com a venda do database de qualquer forma, embora não hajam indícios de que ele tenha sido bem-sucedido em suas vendas) e empresas de segurança que oferecem soluções B2B para evitar vazamentos de dados. Com o desespero público, é natural que a demanda por esse tipo de serviço cresça.
Independentemente disso, é válido lembrar que, se for provado que o vazamento não é novo, que os dados foram obtidos de maneira legítima e que a Serasa não possui relações com o incidente, os responsáveis pela disseminação dessa “ideia” possivelmente podem ser enquadrados no art. 340 do Código Penal: “provocar a ação de autoridade, comunicando-lhe a ocorrência de crime ou de contravenção que sabe não se ter verificado”. É a famosa “falsa comunicação de crime” e o infrator pode ser detido por seis meses.
A The Hack continuará investigando o caso.
Atualização: 30/03/2021, às 12h24
Em contato com a The Hack, a SIGILO, associação sem fins lucrativos que ingressou contra a ação supracitada na reportagem anterior, esclareceu que a decisão do juiz José Henrique Prescende se refere à ANPD, de forma que a Serasa não está isenta de informar aos titulares sobre o suposto vazamento; contudo, o juiz concorda que será preciso apurar os fatos e, somente após as comprovações necessárias, será possível determinar o cumprimento do dever legal de comunicação aos titulares.
"A decisão foi positiva para o processo movido pelo SIGILO. Houve um cuidado do juiz em juntar as provas e deu prosseguimento à ação. Se ele achasse que era leviana, teria indeferido nesse despacho. Mas a ação prossegue. Agora, tanto o Serasa quanto a ANPD vão apresentar contestação, com posterior resposta do SIGILO. Nosso propósito é dar transparência e segurança aos titulares de dados", afirma o presidente do SIGILO, Victor Hugo Pereira Gonçalves.
Fonte: Convergência Digital, G1