Vazamento de dados: saiba o que é e como evitar

Quando as informações de Pessoas Físicas ou Jurídicas são expostas sem autorização, ocorre um vazamento de dados.

No momento em que um criminoso invade um banco de informações e as expõe, está cometendo um crime cibernético por vazamento de dados. Essas ações fazem parte de esquemas de venda de informações na deep web ou são usadas para ameaçar quem foi exposto.

Vazamento de dados: 2021 foi um ano em que esse crime atingiu mais de 220 milhões de pessoas. Para te ajudar a conhecer e se prevenir quanto a esse problema, desenvolvemos esse texto. Continue lendo e saiba como se proteger!

O que significa vazamento de dados?

Um vazamento de dados pessoais acontece quando as informações confidenciais de alguém são expostas sem permissão, isso por que elas podem estar em um vazamento de dados: CPF, telefone, senhas, endereço, dados bancários e diversas outras informações.

E como esse tipo de vazamento acontece? 

1. Eles podem ser fruto de ataques cibernéticos feitos contra empresas que armazenam as informações de seus clientes;
2. A empresa armazena as informações dos clientes, mas suas práticas de segurança são insuficientes ou inadequadas, facilitando o acesso de criminosos às informações dos clientes.

Por isso, para evitar o vazamento de dados pessoais, é preciso saber quem tem acesso aos seus dados e monitorá-los. Dessa maneira, é possível ter mais controle sobre suas informações e garantir a segurança das suas operações e da reputação do seu negócio.

Dark Web

A internet é composta por três camadas: a surface web, que é a área que todos acessam, a deep web e a dark web. As duas últimas estão relacionadas ao compartilhamento não autorizado de dados sensíveis e, portanto, falaremos mais sobre seu funcionamento abaixo.

A deep web reúne sites secretos, que não aparecem nas páginas de busca e não são vigiados pelo governo, portanto, essa é a camada da internet em que a maioria dos dados cadastrais, ou tudo o que precisa de login e senha para poder ter acesso, ficam armazenados.

Já a dark web é a parte obscura da deep web, na qual ocorrem os crimes virtuais, sendo assim, nessa área podem ser encontrados os conteúdos ilícitos e os cibercriminosos que buscam acessar os dados armazenados na deep web.

O que pode acontecer com dados vazados?

Quando um criminoso tem acesso aos seus dados, ele pode cometer golpes e fraudes em seu nome. Isso significa que, dependendo do dado que o criminoso acessa, ele pode abrir contas bancárias e fazer grandes compras em nome da vítima. 

Também há casos de tentativa de extorsão, quando o criminoso pede dinheiro para não usar ou publicar os dados que roubou. Logo, independente da situação, quem tem os dados vazados pode ter sérias dificuldades para comprovar que sofreu um golpe e reverter a situação.

Já para as empresas, o vazamento de dados pode atrapalhar diversos processos e transações financeiras, isso porque o caso também pode trazer uma mancha à reputação da empresa, já que a confiança dos clientes na instituição será abalada devido à exposição dos dados e além disso, as empresas ficam sujeitas às multas e penalizações previstas na LGPD.

Como ocorre?

Diversos vazamentos ocorrem por falta de segurança nos bancos de dados das empresas ou então por uma gestão de acessos pouco organizada. Esse problema engloba desde a falta de autenticação adequada ao acesso até erros em páginas da empresa na internet.

Os criminosos podem invadir e atacar servidores corporativos, como também podem tentar roubar os dados do usuário de forma direta, por meio de phishing e falsos formulários, que normalmente envolvem uma promessa, mas servem apenas para coletar os dados.

As intenções também são diversas, e vão desde manchar a reputação de uma empresa até a venda de dados na dark web, visto que a maioria dos criminosos usa essas informações para fraudes financeiras.

O que fazer em caso de vazamento de dados LGPD?

Existem órgãos públicos responsáveis pela investigação de vazamentos de dados e pela punição dos responsáveis. São eles: Autoridade Nacional de Proteção de Dados (órgão responsável pela LGPD), Procon estadual, Secretaria Nacional do Consumidor e Ministério Público.

Infelizmente, não existem procedimentos específicos para a Pessoa Física realizar, exceto em casos de prejuízos reais. Ou seja, não existem serviços de monitoramento dos dados individuais nem outras medidas que possam ser tomadas individualmente, já que essa é uma responsabilidade das empresas.

Porém, é preciso ficar atento a possíveis golpes, pois além disso, em casos mais extremos, como por exemplo, se um criminoso fizer uma dívida em nome da vítima, ela pode solicitar uma indenização por danos morais.

Como denunciar?

Em primeira instância, ao identificar um vazamento de dados, é preciso fazer uma denúncia no site da ANPD. No próprio site do órgão, o cidadão ou a empresa conseguem registrar a ocorrência.

Independente do tipo de vazamento, também é importante registrar um Boletim de Ocorrência (B.O.) online para prevenir fraudes. Para isso, basta acessar o site da Polícia Civil ou a Delegacia Virtual de seu estado e conferir se existe a opção de comunicar outras ocorrências.

Também é importante encaminhar o B.O. para os órgãos de proteção ao crédito e instituições financeiras com as quais você tem um relacionamento, dessa maneira você pode se prevenir de fraudes e evitar danos maiores.

Você também pode encaminhar um e-mail à empresa na qual ocorreu o vazamento pedindo mais esclarecimentos sobre o ocorrido, mas de forma geral, é essencial redobrar os cuidados e desconfiar de e-mails e ligações que oferecem ofertas “milagrosas”.

Se você sofreu algum prejuízo devido ao vazamento, o primeiro passo é procurar a empresa responsável e, caso não tenha uma resposta positiva, procure o Procon de seu estado, além disso você também pode entrar com uma ação judicial para reparação dos danos.

Vazamento de dados: como saber se dados do PIX foram violados?

Desde o início da operação do sistema PIX, em novembro de 2020, já ocorreram três vazamentos de dados de chaves PIX, de acordo com o Banco Central. No total, mais de 500 mil dados foram vazados.

Esses vazamentos ocorrem porque, apesar de o Bacen ser o responsável técnico pelo PIX, a operação e a gestão de dados são feitas pelas instituições financeiras. Ou seja, os vazamentos acontecem por falhas na proteção dentro das empresas.
Por determinação da Lei Geral de Proteção de Dados (LGPD), o Bacen possui uma página na qual os cidadãos podem consultar os vazamentos de dados. Essas informações são relacionadas tanto às chaves PIX quanto aos demais dados pessoais que o Bacen possui.

Como evitar o vazamento de dados?

Para evitar esse tipo de prática criminosa, as empresas precisam investir em programas e práticas de segurança da informação. Isso pode ser feito pela adoção de softwares de proteção robustos ou mesmo pelo desenvolvimento de políticas internas de educação relacionadas ao assunto.

Com a crescente digitalização do mercado e o consequente aumento no risco de vazamento de informações, surge um novo nicho de empresas especializadas no desenvolvimento de soluções para adequação de compliance e LGPD: as RegTechs.

Também devem ser adotadas ferramentas de autenticação de usuários para gerenciar os acessos aos dados sigilosos, pois dessa maneira, a empresa consegue garantir a veracidade do usuário que tem acesso a determinadas informações.

O Whom? é uma das ferramentas que podem ser adotadas pelas empresas para evitar fraudes de dados no compartilhamento de certificados digitais. Por meio dela, é possível ter total controle do uso desse documento. Conheça!

Muito mais do que investir em cibersegurança, é preciso aplicá-la a todos os processos de sua empresa, visto que isso engloba o início do processo de vendas, as áreas administrativa e financeiras, recursos humanos, compras até a área de logística.

Ao adotar essas ferramentas, é possível identificar e reduzir possíveis ameaças e tentativas de fraude com segurança e rapidez.

Como consultar se seus dados foram vazados

Registrato

O Bacen criou a plataforma Registrato para que os cidadãos possam monitorar seu CPF. Assim, é possível conferir se seu documento está vinculado a contas correntes e movimentações bancárias que não sejam suas.

No Registrato, o cidadão pode consultar:

• Informações sobre empréstimos e financiamentos feitos em seu nome;
• A lista das instituições financeiras onde possui conta ou outro tipo de relacionamento;
• Relação dos cheques devolvidos;
• Dívidas com órgãos públicos inscritas no Cadin Federal;
• Suas chaves Pix cadastradas em bancos, instituições de pagamento e outros;
• Dados sobre operações de câmbio e transferências internacionais realizadas em seu nome;
• Quem não possui conta ativa em banco pode emitir a certidão de inexistência de contas em bancos.

Para ter acesso, é só se cadastrar pelo aplicativo do banco, pelo site do Registrato ou por meio da plataforma gov.br.

Have I Been Pwned?

O site Have I Been Pwned verifica a possibilidade do vazamento de senhas dos usuários. O sistema realiza pesquisas em bancos de dados de mais de 300 sites para verificar se o e-mail ou o número de telefone da pessoa foram vazados.

Descubra se sua senha vazou na internet acessando a plataforma e preenchendo seu e-mail ou o número de telefone (no formato internacional, com DDI na frente) no campo de busca. 

Se não tiver nenhum problema, o site mostrará uma mensagem verde indicando isto. Se tiver, o site mostrará uma mensagem em vermelho com uma lista das plataformas que vazaram seus dados.

Minha Senha

O Minha Senha é uma plataforma brasileira que permite que o usuário verifique se seus dados foram expostos em algum banco de dados fraudado. A plataforma reúne vazamentos em sites nacionais.

Após preencher seu e-mail, o sistema indica quantas senhas foram vazadas do seu e-mail e envia instruções para sua caixa de entrada com o intuito de te ajudar a torná-la mais segura.

Firefox Monitor

A plataforma Firefox Monitor, desenvolvida pela Mozilla Firefox em parceria com o Have I Been Pwned e a Cloudflare, ajuda o usuário a descobrir o que os hackers já sabem sobre ele e como estar um passo à frente.

O recurso de pesquisa de dados utiliza somente o e-mail do usuário para o levantamento de dados. Por meio dela, é possível verificar violações e criar alertas para caso você seja vítima de um novo ataque cibernético.

Entre em contato com o gerente da sua conta bancária

Sempre que possível, entre em contato diretamente com o gerente de sua conta para analisar se houve alguma movimentação estranha. Vocês podem analisar seu histórico juntos para procurar por transações ou pagamentos suspeitos.

Casos famosos de vazamentos de dados no Brasil

Cadastros de chaves PIX

Em janeiro de 2022, o Bacen comunicou um vazamento de dados pessoais vinculados à chave PIX que estavam sob a responsabilidade da empresa Acesso Soluções de Pagamento.

O vazamento atingiu dados cadastrais que não interferem na movimentação de dinheiro. Não foram expostos aqueles dados protegidos pelo sigilo bancário, como: senhas, saldos e extratos.

Operação Deepwater

A Operação Deepwater, deflagrada pela Polícia Federal, investigou um dos maiores vazamentos de dados da história do Brasil. O vazamento envolvia dados de mais de 220 milhões de brasileiros, incluindo até pessoas falecidas.

Os dados vazados incluíam nome completo, endereço, fotos, renda mensal, CPF e outras informações pessoais. Um hacker suspeito pelos vazamentos foi preso em Uberlândia (MG) devido à operação.

Ministério da Saúde

Dados de 243 milhões de brasileiros foram expostos na internet devido a falhas de segurança do Ministério da Saúde. O Ministério afirmou que houve exposição da base cadastral, mas não houve acesso às informações.

Informações como CPF, endereço, nome completo e telefone fazem parte dos dados vazados. O sistema do Ministério da saúde, DataSUS, também ficou inacessível por quase um mês, deixando os cidadãos sem informações devido a um ataque hacker.

Netshoes

Em 2019, a Netshoes foi condenada a pagar R$ 500 mil de indenização por danos morais após a exposição dos dados de cerca de 2 milhões de clientes na internet. Informações como nome completo, e-mail, CPF e histórico de compras vazaram devido a falhas em sistemas da empresa.

Enel

Dados de cerca de 4% da base de clientes da Enel em Osasco, na Grande São Paulo, foram divulgados de forma indevida. Além de dados cadastrais, informações como índices de leitura, nível de consumo e histórico de pagamentos foram vazadas.

O que são ataques de phishing?

Phishing é o nome do crime no qual pessoas mal intencionadas tentam enganar outras pessoas para que compartilhem suas informações confidenciais. Normalmente, as vítimas recebem e-mails ou mensagens de texto se passando por uma pessoa ou empresa na qual confiam.

Quando a vítima abre o conteúdo, encontra uma mensagem assustadora, na tentativa de intimidação. A mensagem exige que a vítima acesse um site e faça alguma ação imediata ou sofrerá alguma consequência.

Exemplos de ataque de Phishing

Existem diversos tipos de ataques de phishing, mas o mais comum e reconhecível é o phishing de e-mail. Confira os principais:

• Phishing de email – Nele, um cibercriminoso envia um e-mail com um link malicioso. O conteúdo tem o objetivo de causar intriga ou preocupação;
• Vishing –  Nele, uma pessoa liga para seu número de telefone contando uma história falsa para envolver o usuário em uma conversa; 
• Smishing – Nele, o criminoso envia uma mensagem de texto com um link ou um número de telefone para que você clique;
• Pharming – Nele, um endereço URL malicioso é enviado na intenção de que o usuário o copie e cole em seu navegador para acessar diretamente o site. Com isso, levam o usuário a um site falsificado;
• Spear phishing – Nele, um criminoso envia um e-mail personalizado direcionado a uma pessoa ou empresa. Seu alvo normalmente são executivos ou pessoas que trabalham em departamentos financeiros;
• Whaling – Semelhante ao spear phishing, normalmente tem como alvo os executivos seniores de uma organização.

Qual a relação de bancos digitais com vazamentos de dados?

A transformação digital trouxe diversas facilidades à vida dos cidadãos. Os bancos digitais são um ótimo exemplo: hoje não é mais preciso ir até uma agência física com diversos documentos para conseguir abrir uma conta. Tudo é feito na palma da mão e em poucos minutos.

Porém, conforme a tecnologia vai avançando, as táticas dos cibercriminosos também evoluem. Exemplos disso são os ataques sofridos pelos bancos digitais nos últimos anos:

• Mais recentemente, em 2022, o Banco Pan confirmou um vazamento de dados de clientes na área de cartões. Apesar de a instituição não ter revelado quantas pessoas foram afetadas, um documento indica que 64 mil titulares foram expostos. ; 
• Em 2020, uma brecha de segurança do Nubank expôs os dados pessoais de alguns de seus clientes na internet. Na ocasião, dados como número da conta, nome completo e CPF desses clientes foram expostos nas buscas dos serviços do Google, Bing, Yahoo, etc.;
• Em 2019, o Banco Inter deixou dados de 1,4 milhão de clientes expostos para acesso durante mais de um ano.

Além disso, hackers têm se aproveitado da facilidade de abrir contas digitais com as informações vazadas pela internet e transferir valores roubados de outras pessoas. As contas indevidas, voltadas às práticas fraudulentas, são outro desafio enfrentado pelos bancos digitais na atualidade.

Último vazamento de dados do grupo META

Em novembro de 2022, a Meta, empresa dona de redes sociais como o Facebook, Instagram e WhatsApp, foi multada em US$ 275 milhões devido ao vazamento de dados de seus usuários.

Mais de 530 milhões de usuários foram expostos na internet em abril de 2021. O vazamento  afetou usuários de mais de 106 países, incluindo o Brasil. Aqui, cerca de 8 milhões de contas tiveram suas informações expostas.

Como se proteger contra o vazamento de dados atualmente?

Para reduzir os riscos de vazamento de dados, as empresas podem implementar estratégias de gestão de risco para detectar, conter e comunicar falhas de segurança para que as equipes responsáveis possam agir o quanto antes para solucionar o problema e evitar prejuízos.

Confira algumas medidas preventivas que contribuem para evitar o vazamento de dados pessoais e corporativos e garantir a segurança da informação:

Use senhas fortes

Crie senhas fortes para dificultar que criminosos e máquinas automatizadas as descubram. Use senhas com, no mínimo, oito caracteres, que misturem números, letras maiúsculas e minúsculas, símbolos e números. Também não deixe suas senhas salvas no navegador para evitar que mecanismos maliciosos acessem o computador e resgatem essas senhas.

Adote a autenticação de dois fatores

Essa estratégia cria uma camada adicional de segurança aos seus acessos. Assim, além do login tradicional, é preciso inserir um código gerado de forma automática a cada novo acesso. 

Tenha um controle de acesso

Também é recomendado que você utilize mecanismos ou equipamentos para controlar o acesso ao sistema. Ao utilizá-los, apenas os usuários devidamente autorizados podem acessar os sistemas, o que impede que terceiros acessem informações contidas em ambientes protegidos.

Confira formas de fazer a gestão de acesso:

Controle de acesso físico

Usado para gerenciar o fluxo de pessoas. Conta com um guarda ou segurança responsável pela observação e averiguação do ponto de entrada ao acesso, como cancelas e portões, além de sistemas eletrônicos, como fechaduras e catracas.

Controle de acesso lógico

Usa dispositivos tecnológicos para permitir o acesso dos usuários a ambientes por meio de biometria, reconhecimento facial ou de voz, leitura da íris ou cartão de proximidade.

Gestão de acessos a softwares e sistemas eletrônicos

Usado para a verificação e controle de usuários e permissões de acessos aos recursos tecnológicos das empresas ou utilizados por elas, como sistemas, aplicativos, dispositivos, redes, serviços SaaS e diversos outros. Esse tipo de controle de acesso é dividido em três etapas:

Autenticação

Nesta etapa, é possível configurar uma validação em duas etapas para determinar se o usuário terá permissão para acessar o sistema. Esse tipo de checagem é comum para o acesso ao internet banking, por exemplo. Nele, o usuário precisa inserir sua senha e um código enviado por e-mail ou SMS para poder acessar sua conta.

Autorização

A configuração da autorização é feita de forma a elencar as permissões de acesso e execuções de cada usuário dentro do sistema. Assim, é possível delimitar os níveis de permissões conforme a posição do usuário na empresa, por exemplo.

Auditoria

Por último, a auditoria permite a coleta dos históricos de uso de cada usuário em tempo real. Esses dados podem ser usados para verificações em casos de erros ou de utilização da permissão de maneira mal intencionada.

A gestão de acessos a sistemas e softwares de forma segura, mesmo com o compartilhamento do certificado digital, é possível por meio do Whom. Por meio dele, o gestor ou proprietário deste documento pode configurar, conceder e controlar os acessos de

qualquer lugar, protegendo seus dados e restringindo atividades para garantir a segurança de suas operações.

Conscientização sobre boas práticas

As empresas precisam implementar ações de conscientização para que seus colaboradores saibam como proteger os sistemas e agir de forma adequada em casos de urgência relacionadas à vulnerabilidade ou invasão dos sistemas.

Por isso, é fundamental promover palestras e cursos para esclarecer assuntos relacionados à segurança da informação e à prevenção do vazamento de dados. 

Política interna de segurança

A empresa deve criar uma política de segurança interna com normas e diretrizes específicas. Assim, todos os que trabalham na corporação poderão ter acesso às regras existentes e ser responsabilizados em caso de descumprimento.

A política deve definir regras para todos os colaboradores, como a proibição de acessar contas pessoais em máquinas coletivas, proibição de downloads de arquivos desconhecidos, como agir em caso de vazamentos, responsabilidades dos colaboradores nesses casos e outras informações.

Treinamento das equipes

As equipes devem receber um treinamento adequado que as capacite e atualize em relação às novidades de segurança da informação. A capacitação pode incluir as seguintes estratégias:

• Simulação de situações que causam o vazamento de dados para preparar os funcionários;
• Capacitação para assegurar que os dados sejam criptografados conforme as ações desempenhadas, obedecendo aos protocolos e políticas de segurança;
• Adequação dos processos, tornando-os mais ágeis, eficientes e dinâmicos, e garantindo que estejam em conformidade com a lei;
• Assegurar a contribuição eficiente e efetiva dos empregados em casos de necessidade.

Plano de resposta ao vazamento de dados

Nenhuma empresa está totalmente imune a ataques cibernéticos. Por isso, é fundamental que a equipe de TI crie um plano de respostas para situações de eventuais vazamentos de informações.

Esse conjunto de ações devem ser colocadas em prática quando os sistemas da empresa estiverem em perigo ou forem ameaçados. Elas servirão para orientar como equipes e clientes deverão proceder para reduzir o impacto e os danos causados por ataques e vazamentos de dados.

Embora o plano varie conforme a necessidade da empresa, normalmente, apresenta os seguintes elementos:

• Análise prévia dos impactos do vazamento de dados para o negócio;
• Estratégias que ajudem a empresa a se recuperar do ataque;
• Mapeamento de dados confidenciais valiosos e críticos de titularidade da empresa;
• Estudo e definição de medidas de proteção, de acordo com o ataque sofrido;
• Levantamento dos riscos à estrutura de TI da empresa e apontamento das vulnerabilidades;
• Estudo da legislação referente à invasão do sistema, violação e vazamento de dados para tomar as medidas judiciais cabíveis.

Conclusão

O vazamento de dados é um grande risco com o qual empresas e pessoas físicas precisam lidar no dia a dia. Por essa razão, é essencial que os negócios adotem medidas de segurança para proteger os dados de seus fornecedores, clientes e até mesmo sócios.