Casos recentes de vazamentos de dados no Brasil e no mundo

Sem categoria

Fizemos um compilado dos principais vazamentos de dados pessoais que ocorreram recentemente no cenário nacional e mundial. Esses tipos de casos são cada vez mais comuns e os cibercriminosos não poupam estratégias para burlar sistemas e invadir redes.

Em tempos de aproximação com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados Pessoais) é importante estar atento e sair na frente em busca da conformidade com a nova lei. Acompanhe os casos que iremos citar abaixo de grandes empresas de seus segmentos, esses incidentes provam que para cibercriminosos não existem barreiras, havendo falhas nos sistemas, eles aproveitarão.

Caso Facebook

Este caso ocorreu no Brasil e por decisão judicial do Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT), o Facebook precisou pagar 16 mil reais a três pessoas que sofreram um golpe por WhatsApp clonado.

Através do roubo da conta do aplicativo de conversas de um dos usuários, o cibercriminoso convenceu outros dois usuários a efetuarem depósitos bancários.

A empresa de rede social precisou restituir cerca de 10 mil reais depositados pelos usuários e também danos morais de 2 mil reais a cada um dos envolvidos.

Para entender melhor o caso, ele ocorreu em agosto de 2019, quando um usuário anunciou um produto para venda na OLX, sendo contatado por telefone por um criminoso se passando por funcionário do site, que solicitou um código de verificação via SMS. Esse usuário informou o código e acabou perdendo o acesso a sua conta do WhatsApp. Em posse da conta do usuário, o criminoso enviou mensagens para outros dois usuários convencendo-os a realizar depósitos em contas indicadas por ele. Quando percebeu a perda de sua conta o usuário entrou em contato com o WhatsApp, porém só teve sua conta bloqueada três dias depois.

O Facebook afirmou que “não é proprietário, provedor ou operador do WhatsApp”, no entanto a juíza do caso observou que “se trata de representante no Brasil do conglomerado empresarial que administra o aplicativo WhatsApp”, também afirmou que a demora da empresa em desativar a conta clonada do aplicativo de conversas contribuiu para a efetividade do golpe. A OLX também foi processada pelos três usuários, no entanto foi absolvida pois a juíza entendeu que “em nada contribuiu para os prejuízos dos autores”.

Caso Play Store

Recentemente no Brasil foi detectado um malware na Play Store capaz de limpar contas bancárias.

A empresa de segurança Eset detectou o aplicativo malicioso na loja do Google, ele era capaz de roubar senhas e dados bancários de brasileiros com smartphones Android. O malware era um torjan bancário, muito perigoso por ser capaz de limpar contas e carteiras de criptomoedas dos usuários.

O aplicativo chamado DEFENSOR ID tinha o objetivo de oferecer serviços de proteção a pessoas jurídicas e físicas, inclusive com a criptografia de aplicativos já instalados no aparelho. A fabricante do aplicativo se chamava GAS Brazil, segundo a reportagem do site Tech Tudo, devido ao nome suspeita-se que fosse especializado em usuários brasileiros.

O número exato de vítimas não é preciso, porém a Eset encontrou dados de cerca de 60 celulares. Após a divulgação o Google removeu o aplicativo da Play Store.

Caso BB Previdência

A BB Previdência é uma subsidiária do Banco do Brasil que oferece fundos de previdência fechados para empresas e municípios, recentemente a empresa sofreu um vazamento de dados que expôs cerca de 153 mil clientes de 46 companhias.

Os dados expostos continham informações como nome, endereço, e-mail, telefone, CPF, CNPJ da empresa e valor disponível na conta. A empresa afirmou que não foi realiza nenhuma transferência para contas com CPF diferente do titular do plano de previdência, não havendo prejuízo financeiro para os clientes.

Apenas 400 acessos durante os 20 dias que esteve no ar foram os números da Retirada de Patrocínio. A intenção era facilitar a solicitação de resgate dos benefícios nos casos de óbito do participante, porém mesmo nessas circunstâncias era necessária a apresentação de documentos como o atestado de óbito e documentos pessoais.

Em comunicado enviado a revista Exame, a empresa afirmou que “tão logo tivemos conhecimento da falha na ‘Retirada de Patrocínio’ suspendemos a funcionalidade que está no ar há 20 dias… Vamos adotar medidas tempestivas para corrigir os problemas identificados e garantir o perfeito sigilo dos dados dos clientes.”

Caso Nintendo

Recentemente a Nintendo confirmou a vulnerabilidade e o vazamento de dados de 160 mil contas da Nintendo Network. Dados como senhas e logins foram vazados por hackers na internet.

Assim que percebido o incidente a Nintendo informou seus usuários e jogadores para que trocassem suas credenciais usadas nas contas no seu atual console, o Switch. A empresa informou que sua base de dados e servidores não tiveram comprometimento, assim sugerindo que essas informações podem ter sido conseguidas em outro local ou mesmo por sites de terceiros.

Sites como Engadget e Eurogamer informaram que os cibercriminosos tiveram acesso aos dados através de “contas legados”, contas que foram migradas de outros aparelhos como 3DS e Wii U, para o Switch. A Nintendo não confirmou essa informação.

Para os usuários se manterem protegidos a empresa informou que retirou o login da Nintendo Network via terceiros ou via contas antigas. Além da troca das credenciais a empresa também recomendou que os usuários ativem a verificação em duas etapas para a conta de login do Switch.

Caso Xiaomi

A gigante chinesa foi alvo de denúncia relatada pela revista Forbes, onde foi acusada de coletar dados de usuários de celular indevidamente.

Recentemente a revista divulgou relatório que sugere que navegadores da empresa realizam levantamento abusivo de dados. Segundo a publicação a prática engloba a obtenção de informações como nome do dispositivo, uso de recursos da interface do usuário e versão do sistema operacional. A Xiaomi por sua vez nega a afirmação de que a privacidade de dados está sendo violada.

O navegador da Xiaomi também foi acusado de enviar as configurações do mecanismo de pesquisa e os sites visitados para servidores remotos em Singapura e Rússia. Inclusive a Forbes afirma que esse envio é realizado mesmo em atividades no modo anônimo.

O relatório afirma que outros navegadores da empresa como o Mi Browser Pro e Mint Browser também possuem a falha na segurança. Segundo a publicação os dados criptografados do usuário usam a codificação Base64, facilmente quebrável por hackers.

A Xiaomi afirmou que as alegações do relatório apresentam “várias imprecisões e interpretações errôneas sobre o processo e armazenamento de dados do navegador”, ressaltou também que não é possível identificar o indivíduo por meio dos dados coletados, pois são enviados aos servidores de forma anônima. Explicou também que não há coleta de dados sem a autorização do usuário e que este material não pode ser utilizado para identificação do usuário, além dos dados de navegação anônima não serem sincronizados.

Todos esses casos, de grandes empresas nacionais e internacionais, reforçam a importância de manter um ambiente seguro em uma rede corporativa. Com a entrada em vigor da LGPD no Brasil, as empresas que não estiverem em compliance podem sofrer sanções que variam de 2% do faturamento anual até 50 milhões de reais por infração.

Se você tem dúvidas de como está o processo de entrada em vigor da lei confira o nosso artigo:

A DeServ possui um setor especializado em Consultoria Jurídica para LGPD, auxiliando diversas empresas no processo de compliance. Se você possui alguma dúvida sobre o tema ou deseja obter um mapeamento de sua empresa, entre em contato com nossa equipe de especialistas.

Telefone: (51) 4063.6218⠀⠀⠀⠀⠀⠀⠀

WhatsApp: (51) 98043.9240⠀

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *