3 dicas para evitar vazamento de dados em sua empresa
Relembre vazamentos que ocorreram no Brasil, após a notificação dos Correios da exposição de cerca de 5% de sua base
Na última segunda (20), os Correios divulgaram uma notificação sobre o vazamento de dados de aproximadamente 5% de sua base de usuários. Segundo a estatal, foram detectados a exposição e o eventual acesso indevido ao número de celular e CPF de alguns usuários da aplicação.
O vazamento de dados não é um problema exclusivo da instituição – diversas empresas sofreram com ações de cibercriminosos no último ano. Alexandre Bonatti, diretor de engenharia da Fortinet Brasil, explica que o hacker visa basicamente o lucro baseado na extorsão, principalmente ao falar de dados sigilosos. “A recomendação dos especialistas em cibersegurança, nesses casos, é unânime sobre o não pagamento desse tipo de extorsão, porque isso incentiva cada vez mais os criminosos.”
O especialista cita três dicas para que as empresas evitem vazamento de dados:
Foco em aplicativos
A vulnerabilidade dos Correios aconteceu em seu aplicativo e esse é um problema frequente, uma vez que as empresas utilizam serviços web, portais, aplicativos e outros para prestar serviços. “Com a transformação digital, aplicativos móveis e portais de serviços geram interesse dos cibercriminosos, porque quase todos os aplicativos estão amplamente acessíveis”, resume Alexandre.
Leia mais: Correios alertam usuários sobre vazamento de dados no app Meu Correios
Diferente de outras vulnerabilidades, eles não precisam de um acesso dentro da rede corporativa para que eles possam acessar um sistema interno. Ao observar os aplicativos, esses acessos já estão públicos na Internet.
Por isso, as empresas precisam olhar não somente para a proteção de sua infraestrutura, mas também para suas aplicações disponíveis ao público. Esse é um desafio por ser impossível criar códigos 100% seguros. Os códigos possuem brechas e os atacantes usarão essas vulnerabilidades para extorquir a companhia.
Cuidado com métodos ágeis
A programação de aplicações seguras se torna mais difícil quando as empresas estão utilizando muitos métodos ágeis, desenvolvendo metodologias e frameworks de desenvolvimento acelerado porque precisam publicar produtos novos, criar promoções e outras ações diariamente.
Essa agilidade buscada no desenvolvimento e em novas funcionalidades para as aplicações geram uma pressão no desenvolvedor para que ele entregue novos códigos o mais rápido possível.
“Vale lembrar que aqui tem um ponto: o desenvolvedor é especialista em desenvolver códigos, ele não é especialista em cibersegurança. Então, muitas das vezes, quando o desenvolvedor está nesse método ágil, criando novos produtos e novas soluções, ele está preocupado na entrega final daquela funcionalidade e não necessariamente se ela realmente está segura para ser lançada”, alerta Alexandre.
Olhar além do desenvolvimento
É preciso observar os aplicativos não apenas da visão de desenvolvimento, mas também de segurança. A empresa deve garantir que aqueles códigos que estão sendo tenham passado por análises criteriosas de cibersegurança, pelo menos para as brechas de segurança mais conhecidas.
“Isso tem que ser um ‘organismo vivo’, pois as empresas chegam a publicar mais de dez novos códigos por dia para as suas aplicações web. Então, não é simplesmente colocar segurança em um código e depois esquecer. Esse é outro problema: a aplicação de cibersegurança no código seguro, tem que ser feito para que todo novo código aplicado passe por essa metodologia de proteção”, comenta o especialista da Fortinet.
Relembre vazamentos no Brasil
O Brasil é hoje um dos principais alvos globais de ataques que visam o vazamento de dados. Segundo dados de um levantamento da Surfshark realizado em meados de 2022, o país foi, na primeira metade daquele ano, o quarto maior alvo de vazamentos do mundo – mais de 3,2 milhões de usuários tiveram dados expropriados no período.
Ainda segundo o relatório, desde que as violações de dados se tornaram uma prática mais comum, a partir de 2004, 15,1 bilhões de contas foram vazadas ao redor do mundo. Destas, cerca de 244 milhões pertencem a usuários brasileiros. Também, para cada dez contas vazadas no Brasil, metade é roubada juntamente com a senha.
Além do recente caso envolvendo o aplicativo Meu Correios, o Brasil viu uma série de outros casos envolvendo vazamentos de dados no ano passado. Relembre alguns dos principais:
Vazamento de chaves Pix: Em janeiro de 2022, o Banco Central comunicou à sociedade um incidente de segurança envolvendo o vazamento de dados pessoais vinculados a chaves Pix. Entre as informações que foram alvo do vazamento estavam nome, CPF, instituição de relacionamento e número de conta e agência de usuários.
Os dados vazados estavam sob guarda da Acesso Soluções de Pagamento S.A., a Acesso. O vazamento foi atribuído a “falhas pontuais” no sistema da instituição de pagamento, e atingiu cerca de 160 mil chaves Pix. O incidente não foi o primeiro do tipo: em setembro de 2021, chaves Pix sob a responsabilidade do Banco do Estado de Sergipe (Banese) também foram vazadas.
Mercado Livre: Em março de 2022, o Mercado Livre foi alvo de um ataque que comprometeu dados de usuários. Segundo a empresa, o incidente consistiu em um acesso não autorizado a parte de seu código-fonte.
Dados como nome, e-mail e telefone de aproximadamente 300 mil usuários do Mercado Livre foram acessados na ocasião. A organização, no entanto, alegou não ter encontrado evidências de que a infraestrutura foi comprometida, o que significa que senhas de usuário, saldos em conta, investimentos, informações financeiras e de cartão de pagamento não foram alcançadas.
Vazamento de milhões: Um dos maiores casos recentes de vazamento de dados no país ocorreu em janeiro de 2021. Na ocasião, a Autoridade Nacional de Proteção de Dados (ANPD) pediu apuração sobre um incidente envolvendo o vazamento de dados de mais de 223 milhões de brasileiros.
O vazamento foi identificado pela empresa de cibersegurança PSafe. O número registrado na base de dados vazados era maior que a própria população do país, e incluía também pessoas falecidas. Entre os dados vazados estavam nome, CPF, fotos, endereço e informações pessoais dos cidadãos brasileiros.
Falha do Ministério da Saúde: Em 2020, dados de cerca de 243 milhões de brasileiros foram expostos em uma falha do Ministério da Saúde. A falha foi exposta pelo jornal ‘O Estado de S. Paulo’.
Assim como no vazamento descoberto pela PSafe, o incidente envolveu um número de registros expostos maior que a população brasileira porque havia também dados de pessoas falecidas. Foram expostos nomes, CPFs, endereços e telefones de brasileiros cadastrados no Sistema Único de Saúde (SUS).