Mundo vive pandemia de ciberataques e Brasil está despreparado, diz CEO de empresa que descobriu megavazamento
Em dois meses, dois megavazamentos de dados privados assustaram o Brasil. Em janeiro, veio à tona a exposição na internet de 223 milhões de CPFs de pessoas vivas e falecidas. Agora, veio à tona o vazamento de quase 103 milhões de registros de celulares.
Os dois casos foram descobertos pela empresa de segurança cibernética PSafe. Para Marco DeMello, CEO da PSafe, esses megavazamentos evidenciam que o mundo vive nada menos que duas pandemias: uma de covid-19 e outra “de ciberataques”.
“Essas duas pandemias coexistem e foram aceleradas no mesmo ano. O que estamos vendo dessa pandemia digital de ciberataques é uma realidade em que todas as empresas e indivíduos estão vulneráveis a ataques de inteligência artificial avançadas e as defesas não se adaptaram ainda a essa nova realidade”, disse em entrevista à BBC News Brasil.
Nesse ambiente em que empresas e governos estariam amplamente vulneráveis a ataques cibernéticos, o Brasil, segundo DeMello, ainda sofre com a desvantagem de estar mais despreparado que a maioria dos países.
“O Brasil tem uma defasagem muito grande entre a sua posição econômica e a sua posição em termos de cibersegurança. É a 8ª maior economia e o penúltimo, dentre 47 países monitorados, em velocidade de detecção de vazamento de dados.”
No dia 3 de fevereiro, a equipe da PSafe detectou a oferta na deep web de 102.828.814 contas de celular com informações sensíveis como tempo de duração de ligações, número do telefone e outros dados pessoais, como CPF e endereço.
Entre os donos dessas contas estariam autoridades, como o presidente Jair Bolsonaro. DeMello não quis mencionar nomes de pessoas que tiveram as informações vazadas, mas confirmou que entre elas estão várias autoridades e celebridades.
“Não confirmo nada sobre nenhum indivíduo particular por uma questão de privacidade. Mas, sim, existem celebridades dentro dessa base, celebridades privadas e públicas.”
Cada registro de celular estava sendo vendido a US$ 1, com possibilidade de valores unitários menores no caso da aquisição de milhões de contas por um mesmo comprador.
Segundo DeMello, a pessoa que vendida os registros disse que os dados são da Vivo e da Claro. As duas empresas negam e o CEO da PSafe diz que não é possível confirmar, por enquanto, a origem dos dados. Ele afirmou, porém, que tudo indica que os registros saíram de grandes operadoras de telefonia.
Confira, a seguir, os principais trechos da entrevista.
BBC News Brasil – Como foi feita essa descoberta? E de que forma se deu a interação entre os funcionários da PSafe e quem estava vendendo os registros?
Marco DeMello – Nós temos um sistema de proteção para empresas e a inteligência artificial desse sistema tem monitoramento da deep web. Fazemos um monitoramento constante de vazamentos em todos os fóruns em que estamos infiltrados.
O primeiro vazamento que alertamos esse ano foi em 19 de janeiro, de 223 milhões de CPFs. Em 3 de fevereiro encontramos esse segundo vazamento, que conteria quase 103 milhões de registros telefônicos de duas operadoras. Nosso time de segurança já parte automaticamente para análise do vazamento e alegações do criminoso. A gente passa para a interação humana, interroga o criminoso. Nós desafiamos, questionamos o criminoso, para forçá-lo a comprovar que as alegações são verdadeiras ou ignorá-lo por ser mais um mentiroso na dark web, porque tem muito.
Fizemos isso e as alegações que o criminoso havia feito acabaram se comprovando em vários aspectos. Nós temos técnicas e táticas e ferramentas para fazer essa comprovação. E chegamos à conclusão de uma probabilidade muito alta de serem realmente quase 103 milhões de registros de telefonia celular. Não tivemos acesso aos 103 milhões. Tivemos acesso a exemplos por estado, estratos por estado, que a gente conseguiu investigar para comprovar a veracidade.
BBC News Brasil – Ele chegou a oferecer essas amostras gratuitamente ou foi preciso comprar alguns desses registros?
DeMello – Gratuitamente. Nós não compramos nada na darkweb. Isso é crime, e a gente não participa disso. A gente alerta sobre esse tipo de vazamento de segurança, mas a gente trabalha puramente com interrogação e técnicas de validação com esses criminosos. É de interesse deles comprovar, porque se eles não comprovam, não vendem. Eles sabem que ninguém vai pagar nada sem antes ter prova de que eles têm os dados que dizem ter.
É uma prática estabelecida. Tem técnicas e métodos com as quais a gente consegue receber essas amostras gratuitamente para pesquisa. Nós não mantemos esses dados nos nossos sistemas. A gente usa isso para comprovação e validação e notificação das autoridades. Fizemos notificação à Autoridade Nacional de Proteção de Dados, a ANPD, que é responsável pela investigação no contexto da Lei Geral de Proteção de Dados, que está em vigor no Brasil com multas previstas a partir de agosto.
E nós fizemos notificação pública do que foi observado pelo nosso sistema de segurança.
BBC News Brasil – Foi noticiado que entre esses registros estão os de pessoas públicas, como o presidente Jair Bolsonaro. Como é feita a verificação de dados assim, do presidente?
DeMello – Nós não comentamos. Não confirmo nada sobre nenhum indivíduo particular por uma questão de privacidade.
A gente respeita muito a privacidade de pessoas envolvidas. Mas, sim, existem celebridades dentro dessa base, celebridades privadas e públicas. E essa confirmação é feita da mesma forma como fazemos outras confirmações. Existem técnicas e ferramentas e conseguimos verificar através de dados como CPF, nome completo e etc. Vemos se esses dados batem com o de outros vazamento que a gente já tem conhecimento e isso começa a compor um caso de que esses dados são reais.
Nunca existe 100% de certeza. A gente precisa deixar isso muito claro. Não tem como ter certeza nem da proveniência dos dados nem de que a base inteira está tão correta quanto os exemplos informados. Então é um trabalho investigativo que precisa acontecer a partir daqui pelas autoridades. Baseado em toda a nossa experiência, a gente acredita que esse vazamento é real.
BBC News Brasil – Foi amplamente noticiado o vazamento do registro do presidente. Isso pelo menos pode ser confirmado?
DeMello – Não posso confirmar nem discutir dados específicos de indivíduos. A gente evita comentar sobre quem quer que seja, da mais desconhecida à mais conhecida. Mas posso dizer que sim, dentre esses dados existem celebridades do Brasil.
BBC News Brasil – Foi noticiado que a pessoa que estava vendendo os dados falou que seriam dados da Vivo e da Claro. Essas empresas negam. Pelo conteúdo das informações a que vocês tiveram acesso dá para dizer que foram dados dessa operadora ou que são dados de grandes operadoras de telefonia?
Nós não confirmamos que os dados são provenientes da Vivo e da Claro. Esse ponto de origem é uma alegação do criminoso. Ele está alegando que é proveniente dessas duas operadoras. Não temos confirmação independente disso. Estamos trabalhando para fazer confirmação. Mas, ao que tudo indica, realmente são de grandes operadoras de telefonia celular.
Muito pouco provável que tenha vindo de outra fonte que não grandes operadoras de telefonia celular — mas exatamente quais são e como os dados foram obtidos, não temos essa confirmação.
BBC News Brasil – E quais as hipóteses para a forma como se deu esse vazamento?
DeMello – A gente vive duas pandemias. Uma pandemia biológica de covid-19 e a gente vive uma pandemia digital de ciberataques. Essas duas pandemias coexistem e foram aceleradas no mesmo ano.
O ano passado foi um ano em que o mundo digital, online e tecnológico avançou 10 anos em seis meses. Houve uma aceleração tecnológica e técnica e também de presença online de uma década em seis meses.
Isso foi verificado também na receitas das grandes empresas de tecnologia e serviços online. Elas bateram metas de receitas em 2020 que eram previstas para 2030. Essa aceleração de 10 anos em 6 meses ocorreu para o bem e para o mal. O que eu quero dizer com isso é que os hackers, os criminosos, também evoluíram 10 anos em seis meses.
O que estamos vendo dessa pandemia digital e ciberataques é uma realidade em que todas as empresas e indivíduos estão vulneráveis a ataques de inteligência artificial avançadas e as defesas não se adaptaram ainda a essa nova realidade. As defesas dos governos, das empresas, essas defesas não estão ainda ao nível dos ataques. A gente precisa fazer um trabalho conjunto muito forte, de capacitação e de melhoria das práticas e metodologias de proteção de dados de cada empresa e cada órgão público, especialmente no Brasil.
No Brasil tem uma defasagem muito grande entre a sua posição econômica e a sua posição em termos de cibersegurança. É a 8ª maior economia do mundo e o 46º, o penúltimo entre os 47 monitorados, em velocidade de detecção e vazamento de dados. Só fica à frente da Turquia.
BBC News Brasil – O Brasil está mais vulnerável, então, do que outros países em termos de vulnerabilidade de privacidade de dados?
DeMello – Acredito que sim, mas o que eu estou dizendo aqui é que, além da probabilidade, a detecção, a capacidade da empresa de saber que foi invadida, a média do Brasil é de 46 dias (entre o vazamento e a detecção). Nos Estados Unidos, são é de 24 a 48 horas. E já é ruim. Teria que ser segundos. Então esse tempo do momento em que a invasão acontece ao momento em que a pessoa percebe e reporta é de 46 dias. Isso está indicando que as empresas e órgãos públicos precisam encarar essa pandemia de ciberataques por inteligência artificial com total seriedade e urgência.
Nós que trabalhamos com segurança somos vistos como profetas do apocalipse. Não estou dizendo que o mundo está acabando. Estou aqui para dizer que essa pandemia digital de ciberataques é real, está acontecendo, e esses megavazamentos são consequência disso, são sintomas disso. E eles vão continuar a acontecer até que as defesas das empresas e órgãos públicos se equiparem à sofisticação dos ataques, porque hoje não é o caso.
BBC News Brasil – Quais as possíveis consequências para as pessoas e para as empresas de um vazamento como esse? Para que os dados podem ser usados?
DeMello – No caso da pessoa física, existem várias técnicas que criminosos usam para assumir a identidade da pessoa. E muitas vezes cometer crimes em nome da pessoa ou vender propriedades que aquela pessoa tem sem ter o direito de fazer isso. Fazer empréstimos em nome daquela pessoa. Há muitos ataques diferentes.
Para as empresas, evidentemente o impacto de ter dados dos seus clientes vazados, suas técnicas, suas patentes, isso pode gerar um prejuízo existencial. Pode virar uma razão de a empresa deixar de existir. A consequência vai de uma perda financeira, de um processo ou de uma multa, até o encerramento das operações da empresa.
Isso depende do tamanho e volume de dados do vazamento. Mas em geral é bastante destrutivo e devastador.
Crédito: Nathalia Passarinho/ BBC News Brasil em Londres – @internet 13/02/2021