Segurança

Vazamento de dados: o que é e como se proteger?

Não é errado afirmar que eles são o ouro dos tempos modernos. Os dados ou a informação colhida, armazenada e tratada, é a matéria-prima de muitas empresas e o produto de outras tantas, sendo entregue em troca de milhões.

A diferença importante na questão que abordaremos hoje para o ouro, para o dinheiro ou até mesmo os bens de consumo, é que os tais dados na maioria das vezes, têm relação com você, com sua segurança, seu sigilo e sua privacidade, quando acontece o vazamento de dados.

O que é vazamento de dados, como ele afeta as pessoas e o que fazer para não ser afetado, é nosso objetivo.

O que significa vazamento de dados?

Vazamento de dados – ou data leak em inglês – é a situação em que ocorre o acesso a dados aos quais não deveria haver acesso e a partir daí são coletados e divulgados publicamente ou repassados a terceiros.

Em termos práticos, toda empresa coleta informações diversas nas rotinas diárias de trabalho, como dados cadastrais de clientes, fornecedores, parceiros comerciais, dados de transações, pagamentos, recebimentos, entre outras.

Nós, no papel de internautas, fornecemos nome, endereço, CPF, endereço de e-mail, senhas, dados demográficos e outras informações pessoais. Tudo isso têm enorme valor, tanto para o bem, como para o mal.

Muitas dessas informações são o que chamamos de dados sensíveis, pois contém elementos que requerem sigilo, privacidade, sob pena de ameaçar a segurança daqueles aos quais os dados estão associados, como por exemplo, uma senha de conta de e-mail.

Ao fornecermos informações desse tipo quando fazemos uma compra ou cadastramo-nos em um serviço, confiamos que elas só serão usadas pela empresa, a qual compromete-se a fazer um uso ético, seguro e profissional delas, geralmente sob regras de uma política de privacidade e termos de prestação de serviços.

Mas quando alguém que não a empresa, tem acesso a essa base de dados e copia seu conteúdo, seja para disponibilizar na Deep Web, ou pior na Dark Web, ou vender a terceiros, ou qualquer uso indevido, fica caracterizado o vazamento de dados.

Como acontece o vazamento de dados?

Um vazamento de dados pode acontecer de diferentes formas e por diferentes razões.

Entre os motivos mais comuns de dados poderem ser acessados por quem não deveria, estão:

Falhas de segurança ou vulnerabilidades nos sistemas, as quais uma vez exploradas, dão acesso ao hacker – na verdade um cracker – ao sistema no qual os dados estão contidos;
Ataques DDoS que sobrecarregam o ambiente no qual a informação está armazenada e o tornam vulnerável à invasão;
Negligência ou erros na condução de protocolos de segurança, por parte de funcionários das empresas;
Atos intencionais dos mesmos funcionários, com o objetivo de obter vantagens ou de prejudicar a empresa;
Uso de senhas fracas para autenticação e/ou ausência de mecanismos que impeçam a descoberta da senha, em sistemas que armazenam os dados;

Acima temos algumas das situações mais comuns que possibilitam que um vazamento aconteça e como se vê, até mesmo quando há preocupação com a segurança por parte da empresa, uma informação valiosa pode cair nas mãos erradas, por um simples erro humano.

Pensar que é uma situação restrita aos pequenos, ou empresas que não investem no que deveriam, é um erro. Inclusive os casos mais conhecidos são justamente associados a algumas das maiores empresas do mundo e por essa razão ficam famosos.

Como se diz, “a força de uma corrente é igual a do seu elo mais fraco”.

Nesse ponto você deve estar se perguntando: “se é assim, eu não tenho segurança quanto aos meus dados no mundo digital?”.

A mais pura e sincera resposta é, não!

Não há hoje como ninguém garantir 100% de segurança. Talvez algo próximo, mas 100%, não.

A segunda pergunta que vêm a mente, é: “então devo abandonar tudo e sair da Internet?”.

Também não.

Não ser 100% seguro não significa que necessariamente algo ruim ou errado acontecerá.

Há muitas coisas que fazemos e que oferecem algum grau de risco e nem por isso deixamos de fazê-las. Cabe a nós diminuirmos as chances de ocorrência, ou se não for possível evitar, que as consequências sejam mais amenas. E é isso que veremos agora.

Como se proteger de vazamento de dados?

Como vimos, em primeiro lugar cabe àqueles que coletam, armazenam e tratam dados, protegê-los. Isso inclusive é uma responsabilidade prevista em lei, como é o caso no Brasil da LGPD.

Nada do que você faça impedirá que alguma das razões mais frequentes para que um data leak ocorra, em algum momento de fato aconteça.

Mas caso se confirme, os impactos precisam ser minimizados.

1. Tenha e use diferentes contas de e-mail

Uma das precauções mais importantes, também é das mais trabalhosas. Mas ninguém disse que seria fácil manter-se tão seguro quanto possível para usufruir do mundo digital.

A quantidade de serviços nos quais nos cadastramos, seja para efetuar compras nos sites de e-commerce, nas redes sociais das quais participamos, nos serviços de streaming de áudio e vídeo, sites de conteúdo e blogs que acompanhamos e dos quais recebemos newsletter, entre outras coisas na Internet, é imensa!

O problema não é gravíssimo pelo simples fato de ter seu endereço de e-mail revelado, mas se você usa um mesmo e-mail como login, esse dado já é sabido e facilita em tentativas de invasão usando brute-force ou ataque de dicionário em todos os demais serviços em que você é cadastrado.

Além disso, nem sempre pode-se ter a garantia que o sistema em que foi armazenada a senha, use um algoritmo sofisticado e seguro e uma encriptação unidirecional, o que em termos práticos significa que não é viável quebrar a criptografia para descobrir-se a senha.

Recomenda-se ter uma conta para sites de comércio eletrônico (apenas os mais confiáveis), uma para as redes sociais, outra para jogos e serviços menos sensíveis e que não armazenem dados de pagamentos e uma quarta para todo serviço que você não tenha muita confiança ou conhecimento sobre sua segurança e idoneidade.

Inclusive para estes últimos, esteja preparado para receber SPAM, pois muitas vezes seus dados de contato são compartilhados com outras empresas com quem fazem parcerias, ou mesmo são vendidos, apesar da LGPD limitar este tipo de destinação.

2. Use diferentes senhas

Usar uma mesma conta de e-mail e, sobretudo, a mesma senha em todos os serviços, é o primeiro passo para ter tudo sob risco, se um vazamento ocorrer.

A situação é menos crítica quando se tem uma senha diferente para cada serviço, lembrando que embora a maioria grave as senhas dos usuários usando criptografia, ainda é possível encontrar em pleno século XXI, quem ainda armazene em texto puro.

Se justamente esse incauto é vítima de invasão, a senha poderá ser facilmente usada para acesso em todos os serviços nos quais se usa a mesma senha e conta de e-mail.

E como já foi dito no primeiro item, há diferentes métodos de criptografia mais e menos seguros. Confiar absolutamente nisso, não é aconselhável.

Outro cuidado relativo a senha, é NUNCA usar a mesma senha da conta de e-mail em nenhum dos serviços. Primeiro porque automaticamente o invasor também terá acesso ao conteúdo do e-mail, como poderá solicitar o reenvio de dados de acesso e redefinição de senha para aqueles que ainda não tem acesso e ainda ter acesso às suas mensagens e obter outras informações privadas.

Você deve estar pensando: “Mas são muitas senhas! Eu não vou dar conta de lembrar de todas!”

É verdade. Mas há métodos de criação de senhas seguras e fáceis de memorizar. Há também aplicativos de gerenciamento de senhas.

E mais seguro do que tudo, mesmo em plena era da transformação digital, o papel. Nada é tão seguro quanto ele, quando se pensa em acesso indevido, a não ser que se esqueça de onde o guardou ou algum acidente provocar sua destruição.

Por fim, mas não menos importante, periodicamente troque todas senhas, principalmente se souber que os dados de alguma empresa ou site no qual você tem cadastro, teve os dados vazados.

3. Use verificação de duas etapas

Quando o serviço disponibilizar, use métodos de autenticação de dois fatores ou etapas (2FA) ou multi-fator (MFA).

Autenticação 2FA ou MFA, é autenticação que exige além da senha, outro método para se assegurar que de fato é a pessoa autorizada que está realizando o acesso. O fator ou etapa adicional pode ser o envio de um código via SMS, uma ligação telefônica por meio de um assistente virtual inteligente, um aplicativo de autenticação que gere tokens com validade limitada, para citar os mais comuns.

No caso do serviço de e-mail gratuito Outlook, uma das alternativas é o que chamam de código de recuperação e que assim que é gerado na área de segurança da sua conta, é oferecida a opção de imprimi-lo para ser guardado para quando necessário. Ou seja, armazenamento em papel!

Esse tipo de autenticação inclusive é tendência e o Gmail tornou obrigatória a verificação em duas etapas para todos os usuários que quiserem se logar no serviço, desde dezembro de 2021.

Tanto a Microsoft, quanto o Google, têm aplicativos de autenticação que podem ser baixados das suas respectivas lojas e instalados no seu smartphone. Quando é necessário usar o fator adicional, automaticamente os aplicativos geram o código que deve ser fornecido.

O grande benefício de métodos de autenticação múltipla, é que mesmo diante do pior cenário, em que conta de e-mail e senha são revelados, uma segunda etapa é necessária para concessão do acesso e que exige que o invasor tenha acesso ao seu dispositivo.

4. Critério e rigor ao fornecer dados

Seja criterioso e rigoroso em todo cadastro feito. Questione a necessidade de fornecer determinadas informações e se julgar que não são absolutamente essenciais para o uso do serviço, considere não prosseguir com o cadastro.

Verifique os campos quanto a obrigatoriedade do preenchimento. Eventualmente há formulários nos quais nem todos os dados são obrigatórios. Nesses casos, preencha apenas os que são.

Não forneça dados bancários quando o serviço é gratuito.

Também não há sentido e justificativa fornecimento de dados tais como endereço, se nenhuma mercadoria ou correspondência lhe será enviada.

5. Faça a sua parte

Há uma série de outras medidas que cabem a você como usuário e que fortalecem a sua segurança no mundo digital.

Dados vazados podem ser utilizados para diversos fins, conforme o criminoso virtual que tiver tido acesso a eles, como o envio de e-mails caracterizando phishing para sua conta de e-mail, para obter mais informações suas, ou um e-mail contendo malwares diversos, como cavalos de troia ou mesmo um ransomware;
Ao saber de um vazamento ocorrido em empresa na qual tem seus dados, entre em contato e peça detalhes sobre seus dados e que procedimentos você deve adotar. Informe-se sobre o que estão fazendo para remediar o problema;
Mantenha seus dispositivos (notebook, desktop, smartphone, tablet, etc) em dia com as atualizações de segurança do sistema operacional e dos aplicativos que tem instalados;
Tenha pelo menos um bom programa antimalware e se possível um firewall;
Evite tanto quanto possível o uso de redes de Wi-Fi públicas;
No preenchimento de qualquer formulário de cadastro, antes verifique se o site faz uso de SSL. Para tanto, basta verificar se a URL tem HTTPS;
Os melhores navegadores web na atualidade, emitem um alerta quando se tenta acessar um site que não tem uma conexão segura (sem HTTPS);
Todos os bons navegadores também oferecem diferentes níveis de privacidade quanto à navegação, por meio da restrição do armazenamento de cookies. Limite ao máximo, exceto quando a navegabilidade depender do recurso e apenas para sites nos quais você confia. Convém fazer a limpeza completa do histórico – e que inclui a remoção dos cookies – periodicamente. Experimente o Brave, uma alternativa de browser que promete caprichar em aspectos de privacidade e segurança;
Nunca aceite, receba e muito menos compre dados pessoais. Essa prática incentiva o “mercado” e os autores das invasões.