sexta-feira, 29 de novembro de 2019

Falhas e vazamentos: empresas precisam acordar para privacidade


Os vazamentos de dados pessoais de vários sites e serviços colocam à prova os reais investimentos das empresas na proteção da sua privacidade
Já começaram as tentativas de adiar a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Os recentes casos de invasão e vazamentos de dados pessoais deveriam servir como alerta para as empresas que deveriam estar investindo na proteção dos seus sistemas antes que pesadas multas – de até 2% do faturamento ou R$ 50 milhões – atinjam seus lucros.
Os casos se repetem um após o outro: nossos dados precisam ser levados a sério. Os pesquisadores são "hackers do bem" que varrem os sites e sistemas das maiores empresas brasileiras para detectar falhas causadas por inexperiência ou incompetência. Especialistas preveem que golpes (phishing) e fraudes usando os dados vazados podem aparecer nos próximos meses e recomendam que você se proteja com autenticação de 2 fatores em suas contas.

Unimed

Pesquisadores do WhiteHat Brasil revelaram que uma falha nos sistemas da Unimed expôs os dados pessoais (nome completo, CPF, nome da mãe, código do beneficiário, e-mail e dependentes), o histórico médico completo (exames e imagens de raio-X, por exemplo) e dados de login e contato de médicos de quatro cidades: Teresina (PI), Parnaíba (PI), Imperatriz (MA) e São Leopoldo (RS).
Cada unidade da cooperativa tem autonomia para adotar sistemas e medidas de segurança, e a falha não afetaria as outras unidades.

Claro (8 milhões)

A mesma equipe de pesquisadores revelou ao Olhar Digital que a Claro expôs dados pessoais como nome, endereço, data de nascimento, CPF, e-mail e números de telefone estavam abertos ao público através de uma falha no portal “Minha Claro Residencial”.

Gestão Inteligente da Nota Fiscal de Serviço Eletrônica

Falha na plataforma Ginfes expôs dados de todos os brasileiros que emitiram ou receberam alguma NFS-e em 60 municípios dos Estados de São Paulo, Rio de Janeiro, Amazonas, Alagoas, Rio Grande do Sul e Minas Gerais.
Denúncia anônima ao Olhar Digital mostrou a possibilidade de acesso aos documentos e dados do prestador e do tomador de serviços por falta de criptografia das informações do site: alterando o URL pode-se obter o nome completo, endereço, e-mail, CPF/CNPJ, descrição e valor do serviço.

Vivo (24 milhões)

Dados pessoais de até 24 milhões de clientes do portal Meu Vivo estiveram expostos: nome completo, nome da mãe, gênero, endereço completo, data de nascimento, RG, CPF, e-mail e celular. Segundo os pesquisadores do WhiteHat Brasil, a falha elementar de segurança fazia com que qualquer token (sequência de números para liberar o acesso ao portal) pudesse acessar o perfil de qualquer cliente!
O Procon-SP deu 15 dias de prazo para que a empresa preste esclarecimentos e informe das medidas de segurança que adotou. A Vivo (Telefonica) poderá ser multada em até R$ 10 milhões segundo o Código de Defesa do Consumidor (CDC).

Tim

Em setembro, a TIM também deixou vazar dados pessoais e negociações de dívidas do portal TIM Negocia. A Secretaria Nacional do Consumidor (Senacon), do Ministério da Justiça e Segurança Pública instaurou processo administrativo para apurar a acusação.

Detran (70 milhões)

O mesmo grupo de pesquisadores informou que o Detran do Rio Grande do Norte deixou vazar dados pessoais de 70 milhões de brasileiros com Carteira Nacional de Habilitação (CNH), isto é, quase todos os que são condutores: CPF, endereço residencial completo, telefones, CNH, foto, RG, data de nascimento, sexo e data de nascimento.

ProAc (28 mil)


Uma falha no sistema do ProAC (Programa de Incentivo à Cultura) expôs imagens do RG, CPF e comprovante de endereço de 28 mil pessoas que procuraram por apoio financeiro. Tudo por não usar o protocolo HTTPS, o que permitia acessar os dados que eram armazenados de forma sequencial e previsível, segundo informou o UOL.
                                                                    FONTE: AVAST BLOG

0 comentários: