Últimas notícias

Fique informado

Segundo executivo da Daryus, vazamentos de informação não são novidade e muito menos raros

15 de julho de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Prefeitura do Rio de Janeiro utiliza login e senha como a Identidade Carioca para acesso aos serviços públicos

Diante de tantos vazamentos de dados será que senha e login é uma autenticação segura?

13 de julho de 2021

Entrevista com Oscar Zuccarelli da Certisign sobre segurança cibernética

Oscar Zuccarelli, Gerente de Segurança da Informação, Proteção de Dados e Prevenção a Fraudes da Certisign.

22 de abril de 2021

Diretor da Digicert fala sobre os megavazamentos no Brasil e as novas relações de confiança na internet

Segundo Dean Coclin , “Os consumidores devem agora olhar além da fechadura para verificar se o site é autêntico”.

24 de fevereiro de 2021

Alexandre Atheniense comenta os riscos jurídicos do megavazamento de dados no Brasil

Os riscos jurídicos e as medidas de enfrentamento do megavazamento dos dados pessoais de 223 milhões de brasileiros

8 de fevereiro de 2021

Vazamentos de informação não são novidade e muito menos um caso raro

Por Cláudio Dodt

Cláudio Dodt

No começo de 2021, um megavazamento de dados expôs mais de 220 milhões de informações de brasileiros, incluindo CPF, foto de rosto, endereço, telefone, e-mail, score de crédito, salário e outros dados pessoais.

Em um caso mais recente, o LinkedIn, a maior rede profissional da internet, foi acusado de ter exposto de forma indevida os dados de mais de 700 milhões de usuários, o que seria o maior vazamento já sofrido pela empresa.

Mas realmente ocorreu mais um vazamento no LinkedIn?

Conforme reportado pela empresa RestorePrivacy, um cibercriminoso passou a ofertar os dados de 700 milhões de usuários do LinkedIn em um conhecido fórum hacker.

A amostra do vazamento, incluía dados de, pelo menos, 1 milhão de pessoas e continha informações como endereços de e-mail, nome completo, números de telefone, endereços físicos, registros de geolocalização, gênero, experiência profissional, detalhes sobre contas em outras redes sociais, dentre outros.

Como a própria página de informações do LinkedIn afirma que a rede social atualmente possui mais de 756 milhões de usuários, podemos estimar que supostamente o vazamento teria afetado 92% dos inscritos. Porém, cibercriminosos não são uma fonte de informação muito confiável, então o próprio time da RestorePrivacy fez uma análise cruzada de parte dos registros contidos na amostra, e aparentemente estes batem com informações de pessoas reais. O que valida que realmente ocorreu um vazamento, certo? Bem, não exatamente.

E como os dados teriam sido vazados?

De acordo com informações obtidas diretamente do cibercriminoso que ofertou os dados, a fonte do vazamento supostamente foi uma falha de segurança na API do LinkedIn, que é uma Interface de Programação de Aplicação rotineiramente usada, por exemplo, para transferir dados entre diferentes sistemas, aplicações ou websites.

Entretanto, em uma declaração oficial sobre o caso, o LinkedIn afirma que nem todos os dados poderiam ter sido obtidos através da API, e que o mais provável é que as informações tenham sido coletadas através de outras fontes como, por exemplo, por meio de técnicas de “Raspagem de Dados”, ou Scraping, que é uma forma sistematizada de se agrupar informações publicamente disponíveis, o que pode ser feito no próprio LinkedIn ou em outras redes sociais e serviços similares.

Scraping não é hacking! Entenda

Partindo do princípio de que os dados foram obtidos através de Scraping, é importante entender um fato simples: não houve hacking, e nesse caso, o LinkedIn não foi invadido por conta de uma falha na sua API.

Quando um usuário compartilha publicamente informações em uma determinada rede social, é razoável presumir que esta pessoa não se importa que esses dados sejam encontrados por outros usuários, afinal é exatamente esse o objetivo, compartilhar informações e ter interações.

O que acontece é que ninguém espera que um conjunto de informações – muitas vezes coletadas de fontes diferentes – seja agrupado em um banco de dados muito bem-organizado, fácil de pesquisar, e comercializado em fóruns da darknet e outros locais igualmente nefastos da internet.

E como evitar o Scraping?

Primeiro, você precisa entender que qualquer informação publicamente disponível na internet pode ser alvo de Scraping. Não importa se o dado está em uma rede social, em um site pessoal, ou em um arquivo PDF, se a informação é publicamente acessível, ela pode ser coletada e agrupada.

É claro, redes sociais como o próprio LinkedIn não compactuam com esse tipo de coleta, pelo contrário, é algo considerado uma violação dos termos de serviço e que trabalham ativamente para evitar que ocorra.

Mas se você não quer ser mais uma vítima do Scraping, existe uma forma bem simples de evitar sua ocorrência: nunca compartilhe publicamente informações que você não gostaria de tornar-se de conhecimento público. Muitas vezes, quando lidamos com questões relacionadas à segurança, especialmente se isso envolve um vazamento, tendemos a esquecer que o próprio usuário tem em suas mãos o poder de evitar situações indesejadas.

No caso das redes sociais, existe a possibilidade de, por exemplo, restringir quem pode ver determinadas informações como o e-mail ou número de telefone, e também é possível limitar as postagens para grupos específicos com outros usuários que já fazem parte da sua rede pessoal. É importante lembrar que isso reduz a possibilidade de Scraping, mas não o evita completamente. Se você não quer correr riscos de uma determinada informação se tornar alvo de uma coleta indesejada, a única saída confiável é não compartilhar.

Por que esses dados coletados de maneira ilegal são tão valiosos?

Independentemente de ter ocorrido um vazamento ou apenas mais um Data Scraping, o conjunto de dados que estava à venda na darknet inclui uma série de informações que cibercriminosos e outros golpistas adorariam obter.

Por exemplo, essas informações poderiam facilitar tentativas de phishing, roubo de identidade, e todo tipo de ataque baseado em engenharia social. Basicamente esse conjunto de dados “vazados” formam um perfil básico de uma vítima e isso efetivamente facilita a execução de diversos ciberataques.

Dessa forma, é importante estar alerta contra possíveis tentativas de golpe, e redobrar a atenção as funcionalidades básicas de segurança que já existem em redes sociais e outros serviços como, por exemplo, habilitar a autenticação multifator.

O LinkedIn pode ser responsabilizado por esse vazamento?

Respondendo de forma direta: não, uma rede social como o LinkedIn não pode ser responsabilizada por um caso de Data Scraping, afinal, como já mencionado, foi o próprio usuário quem decidiu compartilhar publicamente a informação.

É claro, sempre existe a remota possibilidade do cibercriminoso ter falado a verdade, e dos dados terem sido obtidos através de uma falha de configuração em uma API. Neste cenário, sem dúvida, a empresa poderia ser responsabilizada, inclusive nos termos de leis e regulamentações de proteção de dados pessoais como a LGPD e a GDPR.

De toda forma, esse é mais um aviso: segurança e proteção de dados não podem depender exclusivamente do fornecedor do serviço, o usuário sempre tem um papel importante, que muitas vezes acaba sendo fundamental para evitar que os dados jorrem de maneira indesejada pela internet. Da mesma forma que é impossível colocar o gênio de volta na garrafa, é impossível “desvazar” dados.

*Cláudio Dodt é sócio da Daryus Consultoria e especialista e evangelista em Segurança da Informação e Proteção de Dados.

Sobre o Grupo DARYUS

Desde 2005 com o propósito de iluminar mentes, proteger pessoas e negócios, por meio de educação e serviços em gestão de riscos, o grupo DARYUS tornou-se referência em consultoria, educação e eventos nos temas: Gestão de Riscos, Segurança de Informação, Cibersegurança, Proteção de Dados (LGPD) e Governança de Tecnologia da Informação (TI).

O Grupo é composto por 4 unidades de negócios: 1) A DARYUS Consultoria – especializada em Gestão de Riscos e Cibersegurança, 2) O IDESP – instituto DARYUS de Ensino Superior Paulista – que é líder na formação em GRC, com mais de 30 mil profissionais formados desde 2006, e pioneira na criação dos cursos de pós-graduação em segurança da informação, forense computacional, cibersegurança e continuidade de negócios, 3) A DARYUS Eventos, que tem foco em criar e gerenciar eventos que desenvolvam a comunidade de cibersegurança e gestão de riscos no Brasil, e 4) A DARYUS StartLab, aceleradora de startups focada em Riscos, TI e Cibersegurança.

Prefeitura do Rio de Janeiro utiliza login e senha como a Identidade Carioca para acesso aos serviços públicos

Diretor da Digicert fala sobre os megavazamentos no Brasil e as novas relações de confiança na internet

Dados de 700 milhões de usuários do LinkedIn foram colocados à venda online

Entrevista com Oscar Zuccarelli da Certisign sobre segurança cibernética

Os métodos tradicionais de autenticação e verificação de identidade estão mais ameaçados do que nunca

22mai09:0018:00The Tech Summit 20241ª edição no dia 22 de maio no Palácio Tangará, em São Paulo. 09:00 - 18:00 PALÁCIO TANGARÁ, R. Dep. Laércio Corte, 1501 - São Paulo, SP

Grupo DARYUS promove evento de TI e Cibersegurança online e gratuito oferece diversos prêmios para quem participar e indicar amigos

PrintNightmare: nova vulnerabilidade no Windows é explorada por cibercriminosos

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

Marcelo Fernandes da FICO fala sobre a segunda fase do open banking

O que é o open banking e como ele funciona

Monitoramento de microfone, webcam e publicidade na Internet