Por que nossos dados pessoais interessam tanto? Entenda interesse de big techs e hackers

Até mesmo informações básicas, como nome e data de nascimento, podem ser usadas por cibercriminosos para fraudes

O Banco Central anunciou, somente na semana passada, dois episódios de vazamento de dados pessoais de instituições financeiras. Em um dos casos, 46 mil chaves Pix foram expostas, após uma falha de segurança. Informações como nomes, CPFs, agência e conta bancária de alguns clientes estavam entre os dados.

Não é incomum se deparar com notícias de vazamentos de dados pessoais na internet. Um super vazamento descoberto por pesquisadores do Cybernews no início de 2024 teria atingindo mais de 200 milhões de brasileiros - praticamente toda a população - com a divulgação de nome, gênero, CPF e datas de nascimento.

A exposição de informações básicas pode parecer inofensiva, mas é a porta de entrada para que cibercriminosos obtenham mais dados. Esse é o alerta do doutor em Engenharia de Teleinformática Osvaldo de Souza, membro do Comitê de Privacidade e Proteção de Dados da Universidade Federal do Ceará (UFC).

O especialista explica que os criminosos utilizam alguns métodos para aumentar o portfólio de dados rapidamente, descobrindo informações sobre familiares e amigos por redes sociais. Os cibercriminosos podem entrar em contato com o alvo, aplicando golpes em nome de instituições financeiras ou empresas de confiança, ou com pessoas próximas, se passando pelo próprio alvo. 

“Esses grupos tecem a estrutura de relacionamento e acabam procurando pessoas próximas, se passando por aquele alvo, pedindo dinheiro ou algum item de valor. Agrava-se essa situação agora porque existe com cerca facilidade acesso a ferramentas que produzem simulações visuais ou sonoras daquela pessoa”, explica.

Além das tentativas de golpe envolvendo contato direto com vítimas, os cibercriminosos também podem criar contas bancárias e emitir cartões ou empréstimos no nome dos alvos.

9,8 milhões
Esse foi o número de tentativas de fraudes em 2023, segundo dados do 'Fraudômetro', criado pelo Serasa

Osvaldo de Souza comenta que, caso sejam notificados ou desconfiem de vazamento de dados pessoais, os internautas devem trocar imediatamente as senhas das plataformas envolvidas, além de retirar possíveis métodos de pagamento. 

Também é recomendado que as vítimas de vazamento registrem Boletim de Ocorrência do fato, para que tenham como comprovar a exposição em caso de fraudes em instituições financeiras. 

POR QUE VAZAMENTOS DE DADOS ACONTECEM?

O vazamento de dados pessoais pode ocorrer de diversas formas. Em alguns casos, empresas e instituições financeiras podem expor um conjunto de dados de clientes. Osvaldo de Souza explica que as entidades podem cometer essas falhas por incompetência ou por ação deliberada - neste segundo caso, configura crime explícito. 

As plataformas também podem vender informações para outras instituições, que compram bases de dados para realizar ações de marketing direcionado, mediante autorização do próprio usuário. “A autorização é feita ao concordar com os termos de uso, é que as pessoas não costumam ler o que estão concordando. Mas muitas vezes diz lá que você concorda que compartilhemos os seus dados para instituições parceiras, para que ofereçam produtos de interesse”, aponta o especialista.

Como não há um controle da estrutura de segurança de dados dessas empresas parceiras, se torna difícil definir o autor do vazamento de dados. Em outros casos, as plataformas são alvo de ataque hacker, com objetivo de roubar dados. 

As instituições são obrigadas a comunicar os clientes afetados sobre a exposição de seus dados pessoais, segundo diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD), que controla a privacidade e o tratamento de dados pessoais no Brasil.

Independente da causa, os vazamentos de dados são tratados objetivamente, seguindo um protocolo, conforme o presidente da comissão de LGPD da OAB-CE, João Rafael Furtado. “O operador deve comunicar também à Autoridade Nacional de Proteção de Dados, para que apurar a extensão daquele vazamento e também a culpabilidade. Vai ter que descrever a natureza dos dados afetados e as técnicas de segurança utilizadas”, aponta. 

Em vigor desde agosto de 2021, a LGPD estabelece sanções administrativas em caso de descumprimento das normas, incluindo advertência, multa, bloqueio ou eliminação dos dados envolvidos e até proibição do exercício de atividades relacionadas a tratamento de dados.

Osvaldo de Souza pondera, entretanto, que as normativas não são seguidas à risca pelas instituições. “A legislação deveria ser mais rígidas em relação às empresas, em caso de falhas das instituições, sejam públicas ou privadas. É preciso ser mais rígido com as consequências, essas empresas teriam de arcar por perder esses dados”, afirma,

COMO PROTEGER SEUS DADOS NA INTERNET

A preocupação com os dados pessoais é constante, devido à grande quantidade de sites acessados diariamente e à necessidade de informar dados para utilizar diversos serviços, como o Wi-fi de estabelecimento. É impossível garantir 100% de segurança ao navegar na internet, alerta João Rafael Furtado.

É uma falácia dizer que existe uma segurança infalível na internet, porque isso não existe. O que você pode fazer é tomar algumas medidas para mitigar riscos, limitar primeiramente as informações colocadas nas redes sociais despretensiosamente. Onde você esteve, quem são seus familiares, quais são os seus hábitos, o que você gosta de fazer; tudo isso pode ser informação valiosa para um golpista traçar o perfil da vítima"
João Rafael Furtado
Presidente da comissão de LGPD da OAB-CE

Nessa estratégia de engenharia social, os cibercriminosos reúnem um portfólio de informações pessoais sobre os alvos para que se passem por eles de forma fidedigna. Dessa forma, é importante sempre desconfiar de mensagens de contatos desconhecidos e de links enviados por e-mail ou SMS.

No caso de empresas, é recomendável desconfiar de e-mails com domínios comuns e de contatos não verificados pelas plataformas de mensagens. Antes de enviar qualquer informação pessoal ou bancária, o usuário deve conferir a legitimidade daquele meio de comunicação.

Já no que diz respeito a contas em plataformas, os usuários podem garantir maior segurança ao utilizar senhas diferentes e complexas para cada conta. Ao fazer o login diretamente pelo Google, por exemplo, uma maior quantidade de dados é compartilhada com a plataforma. 

“A senha 12345 é a mais utilizada, então obviamente é a mais fácil também de ser hackeada. É bom sempre utilizar senhas fortes e sempre mudar recorrentemente. Existem softwares que são cofres de senha, onde você pode colocar todas dentro daquele cofre”, recomenda o presidente da comissão de LGPD da OAB-CE.