16 milhões de pessoas teriam sido comprometidas. Cidadãos podem requerer informações e mais transparência sobre o incidente envolvendo dados pessoais. 

José Antonio Milagre

Repercutiu no país o vazamento de senhas de sistemas eletrônicos do Ministério de Saúde e que teria permitido o acesso a dados pessoais de pelo menos 16 milhões de pessoas, sendo considerado o maior vazamento de dados sensíveis do Brasil. O problema ocorreu a partir da publicação das credenciais em uma plataforma aberta na internet, comumente utilizada para compartilhamento de códigos.

Os dados publicados poderiam ser usados para acessar dados como CPF, endereço, telefone e dados pessoais sensíveis como doenças pré-existentes. Dados sensíveis são aqueles cuja exposição podem causar danos a direitos e liberdades dos indivíduos, ou que possam ensejar discriminação do titular e incluem as informações e dados referentes à saúde.

As senhas foram disponibilizadas em uma planilha, sem proteção, que por sua vez fora disponibilizada no site GITHUB, comumente usado por programadores para compartilhamento de códigos. A questão se traduz em uma nítida falha humana, de colaborador que, sem observar requisitos e diretrizes de segurança da informação, bem como inconsciente de princípios fundacionais de privacidade por design, publicou o conteúdo crítico em uma área pública, com intenção temporária, como se fosse uma “área de transferência”, mas esqueceu de apagar. O colaborador foi demitido.

Importante destacar que os controladores de dados pessoais são considerados pela Lei como pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. Neste sentido, o fato apenas expõe a previsão da Lei Geral de Proteção de Dados, sobretudo, a responsabilidade de controladores em relação a atos de seus colaboradores e prestadores de serviços.

O fato de publicar uma nota de que “não houve publicação de dados” pelo colaborador não afasta o risco, pois, a partir das credenciais, pessoas mal intencionadas poderiam acessar os referidos dados, por meio de acesso a sistemas do Governo Federal.

A denúncia de quem encontrou a vulnerabilidade foi a um Jornal, o que pode ser um indício de que os agentes de tratamento tomaram conhecimento a partir da notícia publicada. Seja como for, o fato escancara a necessidade de empresas estabelecerem procedimentos claros e de desenvolverem processos para tratar incidentes com dados, que possam ocorrer, atendendo a LGPD. Canais acessíveis para se receber comunicados sobre supostas violações são fundamentais.

A norma informa em seu artigo 42 que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a reparar. Do mesmo modo, informa que estes agentes de tratamento serão responsáveis pelos danos decorrentes da violação da segurança dos dados, quando não adotarem as medidas de segurança previstas no art. 46, e assim, dando causa aos danos.

O art. 46 da norma prevê a necessidade de agentes de tratamentos adotarem medidas técnicas e organizativas para protegerem os dados pessoais, sobretudo de acessos não autorizados. Em complemento, a ISO/IEC 27701 estabelece controles, requisitos e diretrizes que podem ser adotados por agentes de tratamento de dados, de modo a comprovar ou atender parte das necessidades regulatórias.

Em caso de incidentes como o ocorrido, no entanto, deve a empresa comunicar à Autoridade Nacional e ao titular sobre a ocorrência, que possa lhe acarretar risco ou dano. Embora a Autoridade Nacional de Proteção de Dados ainda deva definir detalhes sobre esta comunicação, a Lei já traz o que uma comunicação de violação de dados pessoais deverá conter:

A descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial, os riscos relacionados ao incidente, os motivos da demora, no caso de a comunicação não ter sido imediata, as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Neste sentido, o fato de lançar mão de “notas públicas” genéricas, em nossa visão, não pode ser considerado o mais efetivo e transparente de cientificar pessoas possivelmente afetadas, inclusive em seus dados sensíveis. Deste modo, não é demais dizer que os cidadãos e titulares de dados podem requerer aos agentes envolvidos informações sobre o ocorrido, em detalhes, até para que possam se proteger, caso seus dados constem do possível vazamento.

Como visto, um Sistema de Gestão da Proteção de Dados, considerando um Time de Resposta a Incidentes devidamente constituído, preparado e com processos claros para responder a notificações de violação de dados é fundamental, sobretudo porque no juízo de gravidade do incidente, a comprovação de medidas técnicas adequadas, não só reativas, mas preventivas, serão consideradas, como, por exemplo, medidas para tornar os dados ininteligíveis.

O caso em tela nos exemplifica situações corriqueiras que muitos hoje ainda praticam e que podem causar danos terríveis aos titulares. A falta de treinamentos e conscientização corporativa pode custar muito caro. Mais grave que isso, pesquisas e strings repassados aos buscadores podem revelar repositórios de dados pessoais, mantidos por empresas a órgãos públicos, expostos e esquecidos em diretórios não protegidos e indexados pelos buscadores, onde sequer senha é necessária para acesso. Muito ainda será exposto. A negligência ainda persiste, mesmo com o advento da LGPD e, francamente, não há previsão de que este cenário de consciência de privacidade mude em um curto lapso temporal, sobretudo, enquanto as penas à altura dos danos praticados não comecem a ser aplicadas.

José Antonio Milagre é advogado especialista em segurança da informação e crimes cibernéticos, Mestre e Doutorando em Ciência da Informação pela UNESP, Data Protection Officer (EXIN), e Diretor-Presidente do Instituto de Defesa do Cidadão na Internet (IDCI-Brasil). [email protected]

Mais uma BlackFriday se aproxima e com ela o oportunismo de criminosos cibernéticos, que usam de técnicas variadas para aplicação de golpes, explorando muitas vulnerabilidades dos consumidores virtuais, que desatentos, acabam fornecendo dados pessoais ou comprando em páginas falsas, que são criadas apenas pelo período necessário para tirar o dinheiro do consumidor. Esta edição, porém, promete ser maior por conta do isolamento social diante da COVID-19. Segundo a Ebit Nielsen, as vendas devem crescer 27% em comparação com a edição de 2019.

Os criminosos digitais têm criado “lojas iscas”, normalmente hospedadas em servidores no exterior. Do mesmo modo, ocultam os dados do registrante, por meio de registros “domain by proxy”, tudo para dificultar a investigação de quem está por trás do e-commerce “simulado”.

Rapidamente investem em anúncios nos buscadores e outros métodos de impulsionamento, incluindo redes sociais e rapidamente ficam bem ranqueados na rede. A vítima então se depara com o anúncio, normalmente com preço fora do comum. Se não se atentar para elementos visuais da página ou dados de contato da loja, acaba acreditando que está fazendo um bom negócio, e nunca mais verá seu dinheiro.

As lojas falsas, normalmente se valem de depósito bancário ou boletos, que dificultam o cancelamento das compras ou o rastreio do dinheiro. Assim, todo o cuidado é pouco no período de promoções, já que o crime digital brasileiro explora momentos de grande mobilização digital para auferir lucro, lesando pessoas.

O advogado e perito especialista em crimes cibernéticos, José Antonio Milagre, CEO da CyberExperts e Diretor do Instituto de Defesa do Cidadão na Internet (IDCI) apresenta estratégias para se proteger de golpes digitais e dá dicas sobre como agir, caso tenha sido vítima de fraudes e crimes cibernéticos na BlackFriday.

Dez estratégias para que não que seja vítima de golpes digitais na BlackFriday:

1) Cuidado com descontos absurdos. Embora seja Blackfriday, 90% de desconto é algo estranho de se ver. Cuidado, confira a média de preço dos produtos. O criminoso vai usar este gatilho para chamar sua atenção;

2) Avalie a reputação da Loja. Em um universo de aproximadamente 1 milhão de lojas virtuais, muitas delas podem ser “lojas iscas”, criadas para ficar no ar por pouco tempo, fazer centenas de vítimas e desaparecer. Portanto, pesquise se a loja tem “histórico”, comentários, outras compras, etc. O Google está aí para isso;

3) Avalie as formas de pagamento. Desconfie de lojas que só oferecem depósito bancário, boleto ou criptomoedas. Estas modalidades podem dificultar o cancelamento da compra ou a investigação dos destinatários. Opte sempre por meios de pagamento seguros, onde o dinheiro é liberado quando o consumidor declara que recebeu a mercadoria;

4) Busque contatos da loja. Faça contatos prévios com a loja, mas não só por e-mail, busque um contato telefônico, verifique onde está a sede e desconfie de lojas onde o único contato é um telefone celular;

5) Cuidado com ofertas em comunicadores, e-mails e redes sociais. Jamais clique ou acesse lojas virtuais a partir de links, ou ofertas que receber em comunicadores, WhatsApp e redes sociais;

6) Não acesse lojas pelo buscador. Acesse diretamente o site da loja evitando também pesquisar pela loja no buscador. Cuidado com pequenas mudanças no nome do site e avalie se possui certificado digital expedido para o próprio site. Os criminosos digitais podem falsear um link direcionando a vítima para o site errado. Ataque de pishing são muito comuns, com a falsificação de marcas e identidade visual de sites com ofertas de descontos, dentre outras chamadas para pescar consumidores desatentos;

7) Cuidado com códigos enviados para o celular para supostos descontos. Imagine que você recebe uma mensagem que conseguiu um cupom especial para o BlackFriday, mas para que você receba, você precisará informar um código que chegará pelo celular via SMS. Neste exato momento a vítima não ganhou o desconto, mas pode ter permitido a clonagem do WhatsApp ou até mesmo ter o reset de senhas de app’s financeiros realizados com sucesso, dando acesso ao criminoso. Não confie jamais nesta abordagem. Não informe a ninguém códigos que receber pelo celular;

8) Golpes com PIX. Muitos criminosos também poderão explorar este momento envolvendo a novidade, falsear identidade visual de lojas e oferecer produtos com “desconto” para compras com o pix, oferecendo códigos errados ou chaves que direcionarão o pagamento para o fraudador. Muita cautela no uso da nova tecnologia;

9) Desconfie de dados excessivos. Cheque a política de privacidade do site, se conecte a partir de uma conexão segura, avaliando se o site também tem SSL (https) assegurando proteção contra interceptação de dados e jamais forneça dados mais que necessários para a compra, como “senha do cartão” e outros dados. Mantenha sempre seu sistema operacional atualizado, com firewall e anti-malware ativados;

10) Faça provas de tudo. Guarde provas de toda a compra, salve os códigos, registre prints, e-mails recebidos, se necessário registre em vídeo do processo de compra. Todos estes dados podem ser uteis diante de uma fraude ou golpe, onde a perícia digital poderá identificar a autoria dos criminosos.

Avaliar aspectos de legalidade de um site nem sempre é uma tarefa fácil para o consumidor. Embora a Lei Geral de Proteção de Dados já esteja em vigor (LGPD), já esteja em vigor, muitas lojas ainda não estão em conformidade e não são totalmente transparentes em seus processos.

Outra proteção importante, mas não realizada a golpes digitais, é avaliar as chamadas “fraudes” de lojas que sobem o preço para depois baixarem. Para isso sites como buscapé, zoom e baixou agora podem auxiliar, pois, apresentam um histórico do preço.

Caso tenha sido vítima de um golpe digital, o especialista, José Antonio Milagre, recomenda: “Imediatamente resgate todos os dados da compra, registre um boletim de ocorrência online e procure um especialista em direito digital e crimes cibernéticos para que se incie um processo de apuração da autoria e responsabilização dos criminosos. Em casos de clonagem do chip, pode-se buscar a reparação em face da operadora de telefonia móvel.”

 Do mesmo modo é muito importante contactar o banco com informações sobre a fraude e notificar a loja que eventualmente teve a marca usada para a fraude, para se buscar uma resolução amigável. As lojas podem ser responsáveis, se não adotavam medidas de segurança da informação ou não monitoravam o uso indevido de suas marcas, permitindo que fossem usadas para fraudes e golpes. 

Porém, é importante advertir, se a loja comprovar que não deu causa ou que a despeito de todas as ostensivas demonstrações de segurança, a culpa foi exclusiva do consumidor, esta pode não se obrigada a reparar. Cada caso é um caso, e muitos deles serão apreciados pela Justiça. Por isso, prevenção é a melhor opção, sempre.

O IDCI (Instituto de Defesa do Cidadão e Consumidor na Internet) presta atendimento e apoio a vítimas de golpes e crimes cibernéticos, por seus canais, Siga @idcibrasil no Facebook e Instagram.

Prof. MSc. José Antonio Milagre, é Advogado e perito especializado em Direito Digital e Crimes Cibernéticos, Mestre e Doutorando Ciência da Informação pela UNESP, Presidente da Comissão de Direito Digital da OAB/SP Regional da Vila Prudente, Autor pela Editora Saraiva em co-autoria com o Professor Damásio de Jesus, dos livros “Marco Civil da Internet: Comentários à Lei 12.965/2014” e “Manual de Crimes Informáticos”. Fundador do Instituto de Defesa do Cidadão na Internet – IDCI.

Canais:

O Especialista em Direito Digital, José Milagre, participou do Fala Brasil da Record TV, apresentado por Celso Zucatelli, para para falar sobre a nova modalidade de crime cibernético. Os criminosos estão fraudando dados em aplicativo do governo para sacar FGTS de beneficiários. Quais os cuidados e como se proteger. A matéria já está no Portal do R7.

Saiba mais em:https://recordtv.r7.com/fala-brasil/videos/criminosos-fraudam-dados-em-aplicativo-do-governo-para-sacar-fgts-de-beneficiarios-22102020

Segurança da informação e dados pessoais no uso do PIX! Matéria realizada pela Rede Globo – TV TEM, com a participação do perito e especialista em Crimes Digitais, José Milagre, para falar sobre os riscos e os cuidados que os usuários e correntistas devem ter para não sofrerem golpes digitais. Já são mais de 35 milhões de chaves geradas e todo o cuidado é pouco!

Assista em http://g1.globo.com/…/transferencias-bancarias…/8958459/

ocê já conhece o PIX? A nova modalidade de transferência foi criada pelo Banco Central e já é sucesso entre os consumidores pelas diversas vantagens que oferece em relação as outras modalidades de transferência, no entanto, os criminosos já desenvolveram diversas formas de contornar o sistema e de se favorecerem com o novo serviço. Para saber como identificar os golpes e se proteger acompanhe as orientações do Especialista em Crimes Digitais Dr. José Milagre através do link abaixo.

https://einvestidor.estadao.com.br/educacao-financeira/pix-fraude-protecao/

A RedeTV News realizou matéria para falar sobre Deepfake e o submundo de comércio de bases de dados pessoais a partir de aplicativos de Avatares ou Inteligência Artificial e que inclusive alimentam campanhas Eleitorais ilegais!

O Especialista e perito na área de tecnologia, José Milagre, explica como funcionam os aplicativos e os perigos que acarretam, principalmente em ano eleitoral.

Sabe aqueles aplicativos que transformam o rosto dos usuários em personagens, pessoas idosas ou em gêneros opostos? Eles são muito divertidos, mas é preciso ter muito cuidado, especialmente em ano eleitoral. Existe uma infinidade de aplicativos que mostram como você ficaria se fosse mais velho, se fosse do sexo oposto ou que colocam seu rosto em memes ou videoclipes em qualquer lugar do mundo. É tudo aparentemente divertido, só que a brincadeira pode não acabar bem. Isso porque as empresas que desenvolvem esses apps usam a inteligência artificial através de algoritmos pra armazenar dados do usuário. Com a tecnologia desses apps ficou mais fácil criar notícias falsas, o que é um perigo, especialmente em ano eleitoral. Por isso, é importante ter cuidado redobrado, antes de acreditar e compartilhar vídeos ou informações, porque com os apps é possível colocar na boca de um candidato frases que ele nunca disse, ou colocar a imagem dele em um lugar onde nunca esteve. Então, antes de compartilhar, desconfie e verifique.

Saiba mais em: https://www.redetv.uol.com.br/jornalismo/redetvnews/videos/tecnologia/eleicoes-2020-aplicativos-que-criam-videos-falsos-preocupam-especialistas

Matéria realizada pela RBS TV e G1 – O Portal de Notícias da Globo Rio Grande do Sul com a participação do especialista José Milagre para tratar da prisão de golpista do “golpe do nudes” que lesou inúmeras vítimas em Porto Alegre e Caxias do Sul. Você já foi, ou conhece alguém que tenha sido vítima deste golpe, ou de outro parecido? Denúncie. É possível identificar.

Para saber mais detahes acesse: https://g1.globo.com/rs/rio-grande-do-sul/noticia/2020/09/30/preso-por-golpe-dos-nudes-no-rs-e-detento-do-semiaberto-e-usava-fotos-de-menor-diz-policia.ghtml?fbclid=IwAR0q55mq9Sj4wExx-QQAXvTSO266nmDDfes303DLEBDnN1ckyIlL-BZZ6bk

O especialista em crimes digitais, Dr José Milagre falou ao Fantástico sobre um novo golpe, o “Brusing Scam”, que utiliza-se de dados pessoais vazados para simulação de compras! Você sabe como os criminosos agem ou como se proteger? Fique por dentro acessando https://www.youtube.com/watch?v=UdOC5XW9-0o

A GZH consultou o advogado especialista em crimes virtuais e fundador do Instituto de Defesa do Cidadão na Internet (IDCI), em São Paulo, José Milagre, que deu dicas sobre como se proteger de crimes virtuais em suas mais diversas formas (estelionato, furto de dados, exposição de fotografias, invasão de computadores, entre outros). É importante se manter seguro e atento, já que na atualidade todos estão sujeitos ao mundo digital e suas vulnerabilidades.

Saiba mais detalhes em: https://gauchazh.clicrbs.com.br/seguranca/noticia/2020/09/crime-virtual-o-que-e-e-como-se-proteger-das-principais-ameacas-ckeyczwnt001s0161gapy8sgk.html

O especialista e perito, José Milagre, fala sobre o aumento considerável de crimes digitais durante a pandemia da COVID – 19, chamando a atenção para os motivos do aumento, suas consequências e sobre como se proteger. Já foi ou conhece alguém que tenha sido vítima? Deixe o seu comentário e confira mais detalhes em: https://bandnewstv.band.uol.com.br/programas/bandnews-docs/16818815/bandnews-docs-crimes-digitais.html