Hacker divulgou dados dos ambientes de servidores de empresas e órgãos públicos alegando um teste de segurança e ainda fez comentários sobre a rapidez nas tratativas em cada situação; ameaças de ataques cibernéticos estão em alta e objetivo da data é aumentar conscientização sobre proteção de dados em todo o mundo
No dia internacional da privacidade e da proteção de dados, que acontece hoje, 28, mais um caso de vazamento de dados envolveu empresas como Cielo, Americanas, Submarino, Vivo, Senado Federal, STF e MP-SP.
O hacker “sup3rm4n”, do grupo FatalErrorSec, divulgou os incidentes nos sites Pastebin.com (PDF) e PrivateBin.net (link ainda disponível), e declarou que, em datas distintas, testou a segurança dos servidores de várias empresas.
No vazamento, ele diz que Cielo e Americanas “estão de parabéns”, pois resolveram as brechas assim que perceberam o incidente, 20 minutos após a invasão.
Já o Submarino também teve sua segurança elogiada pelo hacker, mas ele não perdeu a oportunidade para dar um recado, que levaram quase dois dias para perceber a invasão.
Outras empresas levaram mais de uma semana sem perceber as vulnerabilidades. Ele termina o post dizendo que algumas brechas ainda se encontram vulneráveis, enquanto outras já foram corrigidas. Não houve, até o momento do fechamento dessa reportagem, pronunciamento oficial das empresas e entidades envolvidas.
O arquivo postado contém informações dos ambientes e servidores internos das empresas. Não se sabe se foram supostamente invadidas ou se algum prestador de serviço tinha acesso e vazou as informações confidenciais.
A ocorrência vem de encontro à iniciativa do Dia Internacional da Privacidade de Dados, criada pelo Conselho da Europa (CNIL) em 2006 e que foi impulsionado pela NCSA (National Cyber Security Alliance) nos Estados Unidos e em toda América do Norte. O objetivo do dia é aumentar a conscientização sobre proteção de dados em todo o mundo.
GDPR, LGPD e ANPD
A implementação da GDPR, na União Europeia, trouxe consigo uma quebra de paradigma. Atualmente, grande parte dos cidadãos europeus estão preocupados com aplicações móveis e os dados que podem ser coletados sem consentimento. Além disso, é cada vez maior o interesse da sociedade em ter controle e acompanhar o movimento de seus dados.
No Brasil, prevista para entrar em vigor em agosto de 2020 (conforme alteração dada pela MP 869/2018), a Lei Geral de Proteção de Dados definirá um marco para que empresas sejam responsabilizadas financeiramente em casos de vazamento de dados e uso indevido, assim como aconteceu na União Europeia – e, mais recentemente, com a multa de 50 milhões de euros aplicada ao Google.
A partir da implementação da LGPD, empresas de pequeno, médio e grande portes terão que investir em cibersegurança e implementar sistemas de conformidade para prevenir, detectar e remediar violações, uma vez que a lei irá considerar essas ferramentas como critério atenuante na aplicação das penas.
Outro ponto importante, dado pela MP 869/2018, será a criação da ANPD, a Autoridade Nacional de Proteção de Dados, que será responsável pela fiscalização, conscientização e outros afazeres.
A autoridade ainda deve ter suas funções, orçamento e autonomia discutidos, segundo especialistas, uma vez que a Medida Provisória deve passar pelo Congresso Nacional antes de ser enviada para sanção presidencial.
A interface entre as empresas e a ANPD deverá ser realizada pelo DPO (Data Protection Officer), encarregado de monitorar e disseminar as boas práticas na proteção de dados pessoais, perante funcionários e outros colaboradores contratados no âmbito empresarial.
Além de contar com um profissional dedicado, a proteção de dados deverá fazer parte do cotidiano de companhias ao redor do mundo.
O Facebook, por exemplo, aproveitou a data para lançar em sua plataforma uma notificação aos usuários para verificação de privacidade.
A medida serve para que as pessoas que usam a rede social possam conferir se suas informações estão sendo compartilhadas adequadamente.
Planos de ação para entrar em conformidade com a LGPD já permeiam discussões entre C-levels de Segurança, e apontam para uma maior movimentação no setor em relação à implementação da legislação.
Executivos têm trabalhado para desengavetar projetos de cibersegurança que eram muito caros, mas que poderão render economia a longo prazo, por exemplo.
Fonte: Security Report