Há cerca de um ano, praticamente todos os 214 milhões de brasileiros tiveram dados pessoais como CPF, RG e pontuação de crédito bancário (score) vazados. Algumas dessas informações, inclusive, foram comercializadas nas camadas mais profundas e pouco conhecidas da internet, tais como a deep web e a dark web.
Contudo, para uma parcela menor, mas não menos expressiva da população do Brasil, o grau de violação de dados sofrido em 2021 foi ainda maior. Cerca de 24,2 milhões de pessoas tiveram seus perfis invadidos e vazados, por meio de brechas nas mais diferentes plataformas, desde redes sociais, contas em sites diversos, aplicativos de celular, entre outros sistemas conectados à internet, de acordo com pesquisa mundial da empresa holandesa Surfshark.
O número é 31% menor que o registrado no ano anterior, mas ainda deixa o País na incômoda 6ª posição no ranking mundial desse tipo de crime virtual.
"Os danos que podem ser causados quando os dados privados de uma pessoa são roubados ou vazados são enormes. Criminosos podem usá-los em vários esquemas ilegais, como e-mails de phishing, chamadas bancárias falsas e até mesmo roubo de identidade", explica Vytautas Kaziukonis, CEO da Surfshark.
O phishing citado por ele, por exemplo, ocorre quando um criminoso se faz passar por uma pessoa ou empresa confiável ao enviar uma mensagem com objetivo de aplicar um golpe.
O psicólogo e professor universitário, Georges Boris, de 64 anos, passou por tal problema em 2021. "Recebi uma mensagem de alguém que se fazia passar pelo meu filho, usava o nome dele, mas de um número diferente alegando que estava trocando de celular e pedindo uma certa quantia emprestada para me pagar depois. Eu passei a quantia. Pouco depois, me pediu mais dinheiro para outra coisa. Daí, estranhei, resolvi bloquear o celular, confirmei que não era o meu filho e consegui o estorno do banco."
Para o Data Protection Office (DPO) da Morphus, Paulo Nascimento, existem uma série de atitudes que podem reduzir o risco de se ter contas ou dados roubados e vazados. "Você precisa estar com antivírus atualizado, bem como os sistemas que utiliza, bloquear sempre o seu computador quando precisar se afastar dele e criar senhas fortes com 12 a 15 dígitos misturando letras, números, caracteres. Uma opção é criar um banco de senhas, com software próprio para isso, que vai te ajudar a gerar senhas aleatórias."
Mesmo com todos esses cuidados, há ainda o risco de vazamento de dados em ciberataques de proporções colossais (como o citado no início da reportagem) que afetam empresas e governos.
Nesse sentido, outra pesquisa, da Check Point Research, aponta que houve aumento de 77% no número de ataques a organizações no Brasil em 2021. O maior crescimento foi no setor de comunicações (357%), com destaque também para a indústria manufatureira (247%)
Vale lembrar que o ano passado foi o primeiro sob a vigência plena da Lei Geral de Proteção de Dados (LGPD), fato ocorrido em agosto. A nova legislação tem como um dos objetivos, justamente, reduzir a possibilidade de que informações pessoais fornecidas por usuários a empresas fiquem vulneráveis a ataques hackers ou sejam utilizadas indevidamente.
Segundo Paulo Nascimento, a nova lei trouxe avanços, mas esbarra no próprio contexto histórico brasileiro no que diz respeito ao cuidado com a privacidade de dados. "A LGPD começou a ser elaborada em 2010, com contribuições dos três Poderes, mas só no ano passado entrou em vigor. Na União Europeia, já se fala em privacidade de dados desde 1975", exemplifica.
E as novas tecnologias, tais como o Pix, trazem novos desafios quer seja para os desenvolvedores de soluções em cibersegurança, empresas, governos e usuários comuns. Já no início de 2022, por exemplo, cerca de 160 mil chaves de acesso desse sistema de pagamento virtual foram vazadas, segundo o Banco Central.
Ou seja, não dá para ficar muito tempo lamentando, enquanto os cibercriminosos vão descobrindo novos meios para aplicar golpes. Que tal começar trocando aquela sua senha com data de aniversário?
Vazamento de dados em 2021
MUNDO
Número de perfis vazados
4º trimestre (outubro a dezembro) - 44,2 milhões
Total 2021 - 1 bilhão*
% de usuários com dados pessoais vazados - 20%
BRASIL
Número de perfis vazados
4º trimestre (outubro a dezembro) - 1,4 milhão
Total 2021 - 24 milhões**
% de usuários com dados pessoais vazados - 16%
Ranking de países com maior número de perfis vazados em 2021:
1° Estados Unidos: 212 milhões
2° Irã: 156 milhões
3° Índia: 86 milhões
l74° Rússia: 26 milhões
5° França: 24,6 milhões
6° Brasil: 24,2 milhões
Onde o vazamento de dados mais cresceu em 2021***:
1° Irã: 10.842%
2° Sudão: 4.178%
3° Emirados Árabes: 515%
4° Iraque: 456%
5° Índia: 352%
* Somente no primeiro trimestre de 2021 foram 500 milhões de vazamentos, número recorde na série histórica. No total anual, o crescimento foi de 3,4% em relação a 2020
**Contrariando tendência mundial, país teve redução de 31% no número de perfis vazados
***Comparação entre dados de 2021 e 2020
Veja os casos recentes de ciberataques no Brasil:
Dark web
Em janeiro de 2021, um vazamento expôs dados de mais de 200 milhões de brasileiros.Entre as informações, estavam dados como CPF, RG, endereço, telefones, declarações de imposto de renda, scores de crédito e até a situação de benefícios. O volume foi comercializado em fóruns da deep web, com preços a partir de US$ 500.
Facebook
Em abril de 2021, dados de mais de 533 milhões de contas do Facebook em todo o mundo, incluindo o Brasil, foram localizados em um site hacker. Segundo a rede social, as informações eram de 2019 e o vazamento foi fruto de uma falha em uma Interface de Programação de Aplicativos (API).
Renner
Em agosto de 2021, o e-commerce da Renner foi vítima de ransomware (sequestro de computador com cobrança em resgate em moeda virtual). Na ocasião, a plataforma saiu do ar, mas a empresa disse que não houve vazamento de dados pessoais de seus clientes e alegou que não pagou nenhum valor pelo resgate.
Atento
Em outubro de 2021, a empresa de serviços de atendimento e call center Atento foi outra vítima de ransomware, que travou os sistemas e prejudicou o trabalho de seus clientes, como bancos, planos de saúde, plataformas de delivery e até companhias aéreas. Dias depois, o grupo Lockbit divulgou dados corporativos da companhia. Acredita-se que a ação aconteceu devido à ausência de pagamento de resgate, cujo valor não foi divulgado.
Ifood
Em novembro de 2021, o iFood também teve o seu sistema violado. Na ocasião, os nomes dos estabelecimentos foram substituídos por mensagens de cunho político e antivacina. O problema permaneceu por algumas horas e diversos estabelecimentos tiveram seus atendimentos comprometidos pelo ocorrido. Em nota, o iFood afirmou que a desfiguração se deu por meio de uma conta de um funcionário. A plataforma informou ainda que 6% dos comércios foram atingidos.
Log4j
Em dezembro de 2021, uma falha de segurança em escala global preocupou especialistas em segurança digital e empresas ao redor do mundo. A brecha estava ligada à biblioteca de software Log4j, que é usada por quase todos os principais aplicativos e servidores baseados em Java. A falha permitia que qualquer hacker tivesse acesso às partes críticas de sistemas e aplicativos. O problema foi revelado, inicialmente, pelos pesquisadores do Alibaba, com a Microsoft confirmando depois também ter sido afetada.
Órgãos públicos federais
Sistemas do Governo Federal também não escaparam. O principal alvo foram registros do Sistema Único de Saúde (SUS), mas também foram atingidos sistemas do Ministério da Economia, Controladoria Geral da União (CGU) e Polícia Federal. Redes internas e externas, bem como sites oficiais, ficaram fora do ar ou com intermitências por longos períodos. No caso da pasta da Saúde, houve apagão de dados sobre a chegada da ômicron
Pix
No último dia 21, o Banco Central informou que houve um vazamento de 160.147 chaves Pix, que estavam sob responsabilidade da Acesso Soluções de Pagamento S.A. (Acesso). Dados de usuários como CPFs, instituições de relacionamento, números da agência e conta foram expostos