Falhas e vazamentos: empresas precisam acordar para privacidade

Os vazamentos de dados pessoais de vários sites e serviços colocam à prova os reais investimentos das empresas na proteção da sua privacidade

Já começaram as tentativas de adiar a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Os recentes casos de invasão e vazamentos de dados pessoais deveriam servir como alerta para as empresas que deveriam estar investindo na proteção dos seus sistemas antes que pesadas multas – de até 2% do faturamento ou R$ 50 milhões – atinjam seus lucros.

Os casos se repetem um após o outro: nossos dados precisam ser levados a sério. Os pesquisadores são "hackers do bem" que varrem os sites e sistemas das maiores empresas brasileiras para detectar falhas causadas por inexperiência ou incompetência. Especialistas preveem que golpes (phishing) e fraudes usando os dados vazados podem aparecer nos próximos meses e recomendam que você se proteja com autenticação de 2 fatores em suas contas.

Unimed

Pesquisadores do WhiteHat Brasil revelaram que uma falha nos sistemas da Unimed expôs os dados pessoais (nome completo, CPF, nome da mãe, código do beneficiário, e-mail e dependentes), o histórico médico completo (exames e imagens de raio-X, por exemplo) e dados de login e contato de médicos de quatro cidades: Teresina (PI), Parnaíba (PI), Imperatriz (MA) e São Leopoldo (RS).

Cada unidade da cooperativa tem autonomia para adotar sistemas e medidas de segurança, e a falha não afetaria as outras unidades.

Claro (8 milhões)

A mesma equipe de pesquisadores revelou ao Olhar Digital que a Claro expôs dados pessoais como nome, endereço, data de nascimento, CPF, e-mail e números de telefone estavam abertos ao público através de uma falha no portal “Minha Claro Residencial”.

Gestão Inteligente da Nota Fiscal de Serviço Eletrônica

Falha na plataforma Ginfes expôs dados de todos os brasileiros que emitiram ou receberam alguma NFS-e em 60 municípios dos Estados de São Paulo, Rio de Janeiro, Amazonas, Alagoas, Rio Grande do Sul e Minas Gerais.

Denúncia anônima ao Olhar Digital mostrou a possibilidade de acesso aos documentos e dados do prestador e do tomador de serviços por falta de criptografia das informações do site: alterando o URL pode-se obter o nome completo, endereço, e-mail, CPF/CNPJ, descrição e valor do serviço.

Vivo (24 milhões)

Dados pessoais de até 24 milhões de clientes do portal Meu Vivo estiveram expostos: nome completo, nome da mãe, gênero, endereço completo, data de nascimento, RG, CPF, e-mail e celular. Segundo os pesquisadores do WhiteHat Brasil, a falha elementar de segurança fazia com que qualquer token (sequência de números para liberar o acesso ao portal) pudesse acessar o perfil de qualquer cliente!

O Procon-SP deu 15 dias de prazo para que a empresa preste esclarecimentos e informe das medidas de segurança que adotou. A Vivo (Telefonica) poderá ser multada em até R$ 10 milhões segundo o Código de Defesa do Consumidor (CDC).

Tim

Em setembro, a TIM também deixou vazar dados pessoais e negociações de dívidas do portal TIM Negocia. A Secretaria Nacional do Consumidor (Senacon), do Ministério da Justiça e Segurança Pública instaurou processo administrativo para apurar a acusação.

Detran (70 milhões)

O mesmo grupo de pesquisadores informou que o Detran do Rio Grande do Norte deixou vazar dados pessoais de 70 milhões de brasileiros com Carteira Nacional de Habilitação (CNH), isto é, quase todos os que são condutores: CPF, endereço residencial completo, telefones, CNH, foto, RG, data de nascimento, sexo e data de nascimento.

ProAc (28 mil)

Uma falha no sistema do ProAC (Programa de Incentivo à Cultura) expôs imagens do RG, CPF e comprovante de endereço de 28 mil pessoas que procuraram por apoio financeiro. Tudo por não usar o protocolo HTTPS, o que permitia acessar os dados que eram armazenados de forma sequencial e previsível, segundo informou o UOL.

                                                                    FONTE: AVAST BLOG

Falha no sistema da Arpen-SP expôs dados sensíveis; era possível obter o nome de mães, pais e crianças, datas de nascimento, número da certidão e até mesmo relação conjugal dos pais

Alguns cartórios de São Paulo deixaram expostos na internet quase 1 milhão de arquivos, os quais continham dados de mães, pais e filhos. Foram vazados 988 mil arquivos - entre eles um banco de dados com 381 mil certidões de nascimento, que possuíam informações de mais de 399 mil pais, 379 mil mães e 381 mil filhos. A informações ficaram pelo menos dois meses no ar, à disposição de quem quisesse copiá-los. 

O conjunto dos dados informavam os nomes dos filhos, dos pais, as datas de nascimento, números da certidão e, até mesmo, se os bebês nasceram vivos ou mortos. Entre outras informações obtidas, é possível saber se uma criança foi registrada em nome de pais homossexuais ou se os pais estavam vivos ou mortos no momento do nascimento. Alguns filhos possuem poucos anos de vida atualmente, outros, já são adolescentes ou adultos. 

O UOL pesquisou alguns nomes de diversas pessoas pelas redes sociais e registros públicos de acordo com a base de dados encontrada. Entre elas, uma cabeleireira que ficou viúva e cuida de uma jovem e de um adolescente; um policial militar, um pai descendente de chineses, que não paga pensão para o seu filho de sete anos, e uma pessoa que responde a um processo na Justiça por receptação e furto. 

Especialistas disseram que o caso é extremamente prejudicial aos cidadãos que tiveram seus dados expostos, porque trata-se de informações sensíveis, que hoje podem estar sendo comercializadas na deep web ou em mercados ilegais. 

Como vazou 

Uma troca de mensagens entre funcionários da Arpen-SP (Associação dos Registradores de Pessoas Naturais de São Paulo) revelou que o vazamento foi decorrente a uma falha no sistema da entidade, que reúne cartórios do estado para realizar os registros. 

O erro já foi corrigido, mas para reduzir os danos causados, o grupo de pesquisadores Certo (Computer Emergency Response Team) aconselhou que o vazamento fosse divulgado. A partir da orientação dos pesquisadores, a Arpen suspendeu sua comunicação com o grupo, que os ajudou gratuitamente durante a crise. 

Ao ser procurada pela UOL, a Arpen se recusou a responder às perguntas, e disse ter enviado uma nota às autoridades comunicando sobre o acontecimento. 

                                                                       FONTE:OLHAR DIGITAL

Faça algo já: vazamentos de dados atingem milhões de brasileiros

   http://www.softvale.com.br/solucoes/avg-by-avast 

Estamos ficando anestesiados dos escândalos de vazamentos de dados privados. Mas você já parou para pensar se (realmente) pode fazer algo?

Na semana passada, os brasileiros foram atingidos pelas manchetes sobre vazamentos de dados pessoais. A sensação é que estamos ficando anestesiados ou cansados: a frequência está nos levando à indiferença. O melhor seria aprendermos do passado e dos erros para nos protegermos daqui por diante. Primeiro vamos aos fatos para depois tirarmos as lições.

Todas os dados de todas as CNH vazaram

Se você tem CNH, seus dados vazaram através do Detran do Rio Grande do Norte, mesmo que esteja em outro Estado. A falha deu acesso ao banco de dados completo de todos os Detrans, pois os sistemas estão integrados.

Cerca de 70 milhões de pessoas tiveram seu CPF, RG, foto, data de nascimento, sexo, idade, endereço residencial completo, telefone, operadora e dados da própria CNH (categoria, validade, emissão, restrição, registro) vazados.

Dados de 92 milhões de brasileiros estão à venda

A Breach Radar* tuitou que está à venda na deep web um banco de dados de 16 Gb contendo nome completo, data de nascimento, sexo, nome da mãe, CPF e endereço de quase todos os brasileiros (provavelmente se refere aos 93 milhões de empregados). O preço é 15 mil dólares. Por meio de pesquisa simples nesses dados, é possível chegar ao RG e CNH, telefones celular e fixo, endereços antigos, e-mail, profissão, nível educacional, possíveis familiares e placas de veículos.

A BleepingComputer* recebeu uma amostra dos dados e a informação de que se trata de um banco de dados do governo. Pelo tipo de dados, minha suposição pessoal é que se trata de dados de Declarações do Imposto de Renda ou dados da Receita Federal.

Enorme banco de dados do Facebook está público

Não só os brasileiros são vítimas. Desta vez, 419 milhões de números de telefone usados nas contas do Facebook estava disponível (sem necessidade de senha) na internet. O Facebook contesta* esses números.

Alguns dados estão relacionados com o nome do usuário, cidade de nascimento e de residência, sexo e país. As vítimas correm o risco de clonagem e invasão de contas online (SIM swap) e outros golpes telefônicos como os de sequestro de familiares.

O vazamento não ocorreu por ataques aos servidores do Facebook, pois os dados parecem ter sido obtidos* antes que a plataforma impedisse o acesso e a pesquisa de números de telefones dos seus usuários no ano passado.

O que os cibercriminosos podem fazer com os dados roubados?

Os cibercriminosos frequentemente vendem as informações a outros cibercriminosos que abusam desses dados para:

• Sacar dinheiro das contas bancárias
• Enviar e-mails em seu nome
• Assinar serviços e gastar o seu dinheiro
• Conseguir novos cartões de crédito e acumular dívidas comprando itens caros
• Arruinar o seu crédito e manchar o seu CPF
• Bagunçar seus arquivos tributários
• Bloquear suas contas (bancárias ou nas redes sociais)
• ... e muito mais

O que você (ainda) pode fazer se for vítima de um vazamento?

Se a Lei Geral de Proteção de Dados (LGPD) já estivesse em vigor, poderiam ser aplicadas sanções desde a advertência e o bloqueio até multas de R$ 50 milhões ou 2% do faturamento global da empresa. Até agosto de 2020, o que você pode fazer?

1. Avalie quais informações você forneceu ao site/serviço que vazou seus dados e pense o que aconteceria se todos esses dados já estivessem comprometidos? Pense no seu plano de ação e continue nas próximas dicas
    
2. Acompanhe suas contas e desconfie de ações suspeitas: e-mail, redes sociais e aplicativos, extratos de contas bancárias e de cartões de crédito. Informe seu banco ou a operadora do seu cartão para saber como deve proceder
    
3. Tome cuidado com links em e-mails e mensagens de texto para não cair em golpes de phishing
    
4. Consulte regularmente o Serasa Antifraude e o Avast Hack Check* para saber se seus dados estão na dark web (através do seu e-mail)
    
5. Instale o aplicativo Serasa Consumidor para ser informado se há pendências no seu CPF e se houve quedas repentinas do seu score de crédito, que pode ser um sinal de abuso dos seus dados por cibercriminosos
    
6. Troque suas senhas e não as utilize em mais de um site ou serviço. Saiba como fazer isto automaticamente
    
7. Passe a usar a autenticação por 2 fatores em todas as suas contas online: mesmo que seu e-mail e senha tenham sido comprometidos, suas contas ainda estarão protegidas
    
8. Use um antivírus que lhe dê proteção automática e em tempo real em todos os seus computadores e smartphones

                                                                         FONTE:AVAST BLOG

LGPD: Setor jurídico é aliado na adaptação

Em pesquisa recente, o Serasa Experian revelou que cerca de 85% das empresas declararam que estão prontas para atender às exigências da Lei Geral de Proteção de Dados.

Em pesquisa recente, o Serasa Experian revelou que cerca de 85% das empresas declararam que estão prontas para atender às exigências da Lei Geral de Proteção de Dados. Além disso, mais de 70% das companhias admitem a necessidade de contratarem pessoas especializadas e auxílio de consultorias para se adequarem à lei. Os dados revelam um desafio: a adaptação de empresas.

A LGPD é considerada uma revolução no setor empresarial, pois deixa claro os direitos e deveres dos cidadãos e empresas em relação à coleta de dados e sua utilização. A adaptação precisará ser encarada com seriedade, já que diversos impactos estão previstos, incluindo revisão de políticas institucionais e cultura organizacional. Os cuidados serão para evitar aplicação de sanções como, por exemplo, multas de até 2% do faturamento do grupo no Brasil (teto de R$ 50 milhões/infração).

O suporte jurídico, seja por departamento interno ou consultoria especializada, será um grande aliado para a adaptação das exigências da nova lei. Isso porque a área jurídica é um dos setores com maior potencial de contribuição na implantação de um programa de proteção de dados, identificando de forma genuína pontos da legislação que impactam na empresa, bem como possíveis inconformidades geradoras de riscos. A contratação de um encarregado de dados (ou Data Protection Officer (DPO), profissional que será o responsável pela proteção dos dados pessoais armazenados, o mapeamento e a governança de dados são outros pontos que necessitarão de avaliação.
]

Diante do cenário, os empresários precisam estar cientes de que as mudanças e os investimentos realizados serão necessários não só para a adequação das práticas à lei, mas também, como forma de destacar-se no mercado. Hoje, com diversos processos realizados de forma eletrônica, as empresas alinhadas a LGPD estarão um passo à frente.

                                                                 FONTE:JORNAL CONTÁBIL

As multas do GDPR se espalham pela Europa

No primeiro ano de aplicação da GDPR, somente algumas multas pesadas foram emitidas, sendo que duas delas, ambas no Reino Unido, impressionam.

A ameaça de grandes multas fez com que empresas passassem a levar a sério o Regulamento Geral sobre a Proteção de Dados (GDPR), dois anos atrás. Mas será que as multas realmente viriam? Agora, aqueles grandes julgamentos estão se espalhando pela Europa como uma avalanche.

Na segunda-feira, a agência de privacidade do governo britânico anunciou* uma multa de 230 milhões de dólares para a British Airways. A medida foi uma resposta à violação dos dados de um cliente, ocorrida em setembro de 2018. Na terça-feira, o Gabinete do Comissariado de Informação do Reino Unido (ICO, da sigla em inglês), autoridade independente criada para defender os direitos de informação de interesse público no país, anunciou* uma multa de 123 milhões de dólares contra a rede de hotéis Marriott. O motivo também foi uma violação de dados, desta vez ocorrida em novembro do ano passado.

Ambos os casos citaram a transgressão do Regulamento Geral sobre a Proteção de Dados (GDPR). A União Europeia aprovou a lei de privacidade no segundo trimestre de 2016, promulgando-a dois anos depois. O mundo dos negócios anotou cuidadosamente as ameaças de penalizações do GDPR, que poderiam chegar a até 25 milhões de dólares ou a 4% da receita anual de uma empresa.

Somente algumas grandes multas foram emitidas no primeiro ano de implementação do regulamento. (Se bem que a França já havia multado o Google em 57 milhões de dólares, depois que a empresa usou informações dos usuário em sua publicidade.)

Desde então, o governo da Grã-Bretanha já ordenou, no mínimo, o mesmo valor em grandes multas. E a agência britânica por trás das penalizações dessa semana parece estar correndo à solta.

A Alemanha multou um policial em 1,5 mil dólares por usar, para fins pessoais, o número da placa de um carro para pesquisar o número de telefone do seu dono.

As multas desse ano incluem os mais de 400 milhões de dólares na França – o país penalizou uma imobiliária por uso indevido de dados de uma câmera de vigilância – e os 280 mil dólares na Espanha, onde a competição futebolística La Liga recebeu uma multa por seu aplicativo ter usado indevidamente o microfone dos smartphones. (O ICO diz que as pessoas também precisam ser responsabilizadas.)

As multas mais recentes seguem as do vazamento de dados – que já são extremamente custosas para as empresas – e cita falhas específicas em relação ao GDPR com a cobrança de penalidades correspondentes a elas. “A investigação do ICO descobriu que uma variedade de informações foi comprometida por conta de medidas fracas de segurança por parte da British Airways. Entre os dados comprometidos, estão: credenciais de acesso, número de cartão e detalhes das reservas de viagens, assim como o nome e o endereço da vítima”, disse a agência. A companhia aérea está colaborando com o ICO e terá a chance de resolver os problemas e diminuir o valor da multa.

Com relação à rede de hotéis Marriott, a agência de vigilância britânica culpou a segurança fraca ligada a uma aquisição da empresa. “A investigação do ICO descobriu que a Marriott não tomou os cuidados devidos e que a rede de hotéis também deveria fazer mais para proteger seus sistemas”, declarou a agência.

O blog da Avast perguntou ao ICO britânico se as duas multas aplicadas na semana servem como alerta para as empresas que se prepararam para o GDPR e depois deixaram de priorizar a segurança para voltar aos negócios normalmente. A resposta sugere que a agência britânica está completamente ligada no modo de “prestação de contas".

“O foco para o segundo ano do GDPR deve ir além da base de conformidade legal. As organizações precisam focar em uma conformidade com entendimento claro dos riscos às pessoas na forma como os dados são processados”, respondeu o escritório, citando a Comissária de Informação Elizabeth Denham.

Apesar do valor das multas apresentadas a algumas grandes empresas que entraram em conflito com o ICO, a Avast acredita que o GDPR apresenta medidas interessantes a serem adotadas, e não uma ameaça a ser temida.
                                                                                FONTE:AVAST BLOG