O site
informativo de telecomunicações Celular Direto, gerenciado pela empresa carioca
Wooza, deixou uma rede de fornecimento de conteúdo (CDN) exposta com dados pessoais de 120 mil pessoas
interessadas em contar com planos e serviços da operadora TIM. Além dos dados
expostos, informações e imagens de banners e newsletters de outras operadoras e
empresas também estavam completamente acessíveis por terceiros.
"Vazamento: nome completo,
endereço de email, telefone celular, telefone residencial, CEP, cidade, bairro,
nome da rua e número da residência"
O TecMundo recebeu os documentos de
uma fonte chamada "Mr. Luluz1nh4" via email denúncia —
saiba mais ao final do texto. São 390 MB que contabilizam 3.308 arquivos em 643
pastas separadas. As empresas afetadas pela exposição de informações de banners
e newsletters são: CarRentalz, Claro, Genial Seguros, Magazine Luiza, NET,
Netflix, Nextel, Oi, Porto Seguro, Proteste, Vivo, Walmart e WeSeek.
Apenas na pasta da TIM continham informações de cidadãos expostas.
Os dados pessoais vazados na
Content Delivery Network (CDN) da Celular Direto envolvem mais de 270 mil
registros. Após limpeza de duplicados, foi possível encontrar 233.202 registros
únicos de cidadãos com: nome completo, endereço de email, telefone celular,
telefone residencial, CEP, cidade, bairro, nome da rua e número da residência.
Segundo a empresa responsável, na verdade, esse
número seria de 118 mil registros únicos.
O TecMundo entrou em contato com a
Wooza, responsável pela Celular Direto, na terça-feira (21). Na sexta-feira
(24), a Wooza entregou posicionamento alegando que os dados são de agosto de
2017 e os conteúdos ali expostos não configuram “dados sigilosos ou sensíveis
que possam expor de forma discriminatória, vexatória ou financeira os mesmos”.
Por isso, não entraria em contato com os cidadãos para um comunicado.
“Spear phishing, engenharia
social e SIM Swap: alguns dos golpes que podem ser realizados com as
informações expostas”
Nome completo, telefone celular ou
residencial, endereço completo e email pessoal não são dados sigilosos ou
sensíveis para a Wooza. Para a Wooza. Para cibercriminosos, a história é
diferente — e também para o governo brasileiro, que aprovou a Lei Geral de
Proteção de Dados.
Quando perguntada se realmente
não enxergava essas informações abertas como algo malicioso para os cidadãos
expostos, a empresa se limitou a responder: “Na verdade, são menos de 118 mil
dados únicos que não necessariamente correspondem com os dados da pessoa que
acessou o site para pesquisa da disponibilidade do serviço”.
Isso significa
que o panorama poderia ser até pior: a lista pode conter dados de pessoas que
não colocaram suas informações em sites de alerta por conta própria,
proativamente, o que dificulta uma resolução para avisar os usuários que seus
dados foram expostos.
O que dizem as leis
O
Marco Civil, assinado pela então presidente Dilma Rousseff em 2014, fala sobre
dados pessoais como estes expostos. Em seu décimo artigo, o texto é claro: “A guarda e a
disponibilização dos registros de conexão e de acesso a aplicações de internet
de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações
privadas, devem atender à preservação da intimidade, da vida privada, da honra
e da imagem das partes direta ou indiretamente envolvidas”.
Sob o
mesmo artigo, ainda é citado: “Em qualquer operação de coleta, armazenamento,
guarda e tratamento de registros, de dados pessoais ou de comunicações por
provedores de conexão e de aplicações de internet em que pelo menos um desses
atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a
legislação brasileira e os direitos à privacidade, à proteção dos dados
pessoais e ao sigilo das comunicações privadas e dos registros”.
“Em
qualquer operação de coleta e armazenamento, deverão ser obrigatoriamente
respeitados a legislação brasileira, direitos à privacidade, à proteção
dos dados pessoais e ao sigilo dos registros”
Ainda
temos a questão da LGPD, assinada pelo ex-presidente Michel Temer em seu último
mês de mandato. A Lei Geral de Proteção de Dados entra em vigor em 2020, porém,
empresas e sociedade precisam se preparar para o que está por vir. É
interessante — e indicado pela própria comunidade de segurança — que medidas já
sejam tomadas para quando o próximo ano chegar, companhias não fiquem em
desacordo.
Dados
pessoais, segundo a LGPD, envolvem qualquer informação relacionada a pessoa natural
identificada ou identificável. No Artigo 46, a nova lei ainda
deixa claro: “Os agentes de tratamento devem adotar medidas de segurança,
técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Por
último ainda é possível encontrar inciso que estende a gravidade de exposição
de dados pessoais, que podem acabar revelando dados sensíveis: “Aplica-se o
disposto neste artigo a qualquer tratamento de dados pessoais que revele dados
pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em
legislação específica”.
Caso
esta exposição tivesse ocorrido em 2020, após a entrada a Lei Geral de Proteção
de Dados, a Wooza poderia ser acionada pela Autoridade Nacional de Proteção de
Dados para maiores explicações. Em último caso, após julgamento, a LGPD envolve
medidas que vão desde comunicados para clientes afetados até multas.
- Mais
abaixo, você acompanha o posicionamento da Wooza na íntegra — a TIM também
se pronunciou sobre o caso.
CDN
Celular Direto
O que pode acontecer com os
cidadãos expostos
São inúmeros os golpes que podem ser aplicados com os dados pessoais expostos.
O Brasil é o país mais atacado no mundo por phishing, segundo dados da empresa
de segurança Kaspersky Lab, por exemplo.
O phishing
ilude vítimas ao fazê-las acreditar em uma mensagem falsa. “Metade do trabalho”
de um cibercriminoso é enganar o usuário de computador ou smartphone: como uma
"pescaria", o cibercriminoso envia um texto em massa indicando que os
leitores ganharam algum prêmio ou dinheiro (ou está devendo algum valor) e,
normalmente, um link acompanhante para resolver a situação. Isso pode acarretar
em novos roubos de dados ou até instalação de malwares.
“Com todas essas informações e
dados pessoais já em mãos, o cibercriminoso consegue criar alvos e desenvolver
campanhas maliciosas personalizadas”
Mas esse é o
phishing comum, mais utilizado para conseguir exatamente os dados que a CDN da
Celular Direto entregou de bandeja. O spear phishing é mais perigoso: com todas
essas informações e dados pessoais já em mãos, o cibercriminoso consegue criar
alvos e desenvolver campanhas maliciosas personalizadas. Dessa maneira, é mais
fácil infectar alguém ou roubar dados ainda mais sensíveis, como informações
bancárias.
Vale notar que, em resposta ao TecMundo, a Wooza comentou que “levando
consideração que não geramos nenhum tipo de violação ao direito de privacidade,
não se faz necessário comunicar as pessoas. Sendo assim, reduzimos as chances
de ações de phishing por terceiros”.
Novamente, os
dados já foram abertos e a questão é se eles vão ser abusados por phishers ou
não.
CDN
Buraco
ainda mais fundo
A engenharia
social é outro problema acarretado pelos dados expostos. De acordo com Renato
Marinho, pesquisador chefe da empresa de segurança Morphus Labs, a engenharia
social permite "desde a abertura de contas bancárias para obtenção de
crédito a tentativa de recuperação de credenciais de acessos a serviços online
da vítima, são muitos os cenários de risco envolvendo o uso de informações como
essas e técnicas de engenharia social".
Por último, cibercriminosos podem
realizar o SIM Swap, um golpe que está virando moda no Brasil e tentar o roubo
de contas de redes sociais, WhatsApp e contas bancárias.
“Criminosos conseguem se passar
pelas vítimas com informações vazadas em bancos de dados”
O SIM Swap
acontece porque o processo de obtenção de um novo chip para o mesmo número —
quando a pessoa perde o celular ou é roubada — é bastante falho. Criminosos
conseguem se passar pelas vítimas com informações vazadas em bancos de dados,
como o da Wooza. O interesse dos cibercriminosos nas fraudes de SIM swap é tão
grande que alguns até vendem este serviço, afirma a empresa de segurança
Kaspersky em relatório divulgado.
“O interesse dos cibercriminosos
nas fraudes de SIM swap é tão grande que alguns até vendem este serviço para
outros criminosos. Os fraudadores atiram em todas as direções; os ataques podem
ser direcionados ou não, mas qualquer pessoa pode ser vítima”, explicou Fabio
Assolini, analista sênior de segurança da Kaspersky Lab e corresponsável pelo
relatório.
Cidadãos que se
registraram no site da TIM ou Celular Direto buscando informações sobre
chegadas de planos ou coberturas em 2017, podem entrar em contato com a empresa
responsável buscando mais informações se estão presentes no vazamento ou não.
Pastas
CDN
Posicionamento da Wooza e TIM sobre o
caso
“A
Celular Direto/Wooza esclarece que:
Os
banners e scripts são aqueles que podem ser acessados e visualizados por
qualquer pessoa no site do parceiro e visam melhorar a experiência de navegação
dos usuários em nossas plataformas web, não gerando qualquer tipo de violação
ao direito de privacidade.
Os
dados reunidos em agosto de 2017 eram de pessoas que tinham intenção de serem
avisadas sobre disponibilidade de serviços de internet banda larga em regiões
onde a cobertura não estava disponível. Em tais arquivos constavam dados para
contato, não configurando dados sigilosos e/ou sensíveis, que possam expor de
forma discriminatória, vexatória ou financeira os mesmos”.
A
Wooza deixa claro que o processo de transmissão de dados foi alterado para
garantir o padrão de segurança acordado com os parceiros. Hoje, os dados não
estão mais expostos”.
- A
TIM seguiu a mesma linha da Wooza em seu posicionamento:
“A
TIM esclarece que notificou o parceiro Wooza sobre a descoberta deste
repositório público. Vale ressaltar que, as informações desta plataforma eram
contatos de possíveis interessados em adquirir serviços de internet fixa,
no ano de 2017. Além disso, estes dados não tinham caráter sensível, sem
possibilidade de comprometimento financeiro, vexatório ou discriminatório dos
envolvidos”.
Newsletters Vivo
Fonte: Tecmundo
Nenhum comentário:
Postar um comentário