Dados de 220 milhões de brasileiros foram expostos na internet. Porém, o caso é ainda mais grave que isso. Na deep web estão à venda por bitcoins uma quantidade ainda maior de informações pessoais como foto, endereços, telefones, e-mails, salário, renda, entre outros. Ou seja, todas informações pessoais que brasileiros já forneceram para tomada de crédito ou aquisição de bens foram violadas e estão sendo comercializadas.
De acordo com o Fórum Econômico Mundial, o custo global das violações de dados até 2021 será de US$ 6 trilhões. Um estudo de referência conduzida pelo Instituto Ponemon, que se dedica à pesquisa e educação, principalmente na área de Tecnologia, concluiu que, em uma média global de seis anos, o custo de uma violação de dados é de US$ 3,78 milhões em 2020. No entanto, as consequências financeiras dessa violação podem variar com base em diversos fatores, incluindo causas principais, tamanho da rede e o tipo de dados mantidos por uma organização.
Além da óbvia exposição da privacidade de todos brasileiros, que pode gerar até mesmo consequências diretas na segurança física das famílias, há também uma importante lacuna na segurança digital. Por isso, é importante que desde já pessoas físicas e jurídicas tomem algumas ações para evitar um mal ainda maior.
Atenção para as senhas
Pelo lado dos consumidores, recomendo uma ação imediata: revisem suas senhas. É sabido que devido a quantidade enorme de senhas exigidas no dia-a-dia de cada brasileiro há uma tendência de registrar senhas com informações fáceis de lembrar. Assim, é comum usarmos data de nascimento própria, dos filhos, do cônjuge, nomes desse familiares entre outras informações pessoais.
Quando há exigência de caracteres especiais na senha, é também comum escrever nome de familiares e trocar a letra "a" por "@", letra "e" por "&" e assim por diante. Com esta base de dados nas mãos será muito simples para robôs cruzarem informações sobre toda estrutura familiar com nome e dados de todos indivíduos. O passo seguinte será a construção de ataques para descobrir senhas, e utilizar esses padrões citados será um método amplamente tentado. Portando, todos que possuem senhas que há padrões como esse devem imediatamente trocá-las para um formato de caracteres totalmente aleatórios e que não possuam uma única para todos acessos.
Rever processos de verificação de cadastro
As empresas devem realizar uma revisão nos procedimentos de validação e revisão de segurança de seus clientes. Em atendimentos telefônicos, por exemplo, antes de dar informações adicionais ou executar ação solicitada por seu cliente, os atendentes informam que necessitam verificar alguns dados. Neste procedimento perguntam, telefone, e-mail ou quaisquer outras informações que agora estão na internet a 'alguns bitcoins' de distância. Portanto, está claro: estas empresas são alvos fáceis para golpistas munidos de informações vazadas.
Verificar dados de cadastro não é mais seguro para as empresas validarem a identidade de seus consumidores. Métodos mais sofisticados devem ser empregados com reconhecimento de origem da solicitação, como local de contato, origem de IP, análise de comportamento, entre outros métodos que possam identificar um cliente com um comportamento diferente de seu padrão, detectando tentativas de fraudes. Para dados mais sensíveis ou transações mais complexas, é impreterível que as empresas adotem duplo fator de autenticação para seus clientes, com validação de acesso via token, SMS ou outra tecnologia.
Rogério Soares, diretor de Pré-Vendas e Serviços Profissionais da Quest Software.