A ANDP (Autoridade Nacional de Proteção de Dados) informou nesta quinta-feira (11) que está apurando o vazamento de dados de operadoras de telefonia. O vazamento foi descoberto pela empresa PSafe e envolve mais de 100 milhões de informações de contas de celulares. O caso envolve operadoras de telefonia: foram mais de 102 milhões de contas vazadas na deep web, espaço no qual o rastreamento dos computadores usados para acessar os sites é praticamente impossível.

Imagem ilustrativa da imagem Novo megavazamento escancara fragilidade da segurança digital
| Foto: iStock

O anúncio da falha de segurança acontece cerca de 20 dias depois de outro vazamento, em janeiro, que expôs dados de mais de 223 milhões de brasileiros, com nome completo, CPFs, CNPJs, data de nascimento e outras informações. Outros casos de ataques também chamaram a atenção nos últimos dias.

No dia 1º deste mês, a Copel foi alvo de um ataque cibernético que afetou alguns de seus servidores. Com o ataque, o funcionamento dos sistemas da companhia precisaram ser suspensos para impedir a continuidade do ataque. De acordo com nota da assessoria de imprensa, os sistemas foram restabelecidos por etapas, mas os principais sistemas internos já estavam em operação. O funcionamento dos serviços de fornecimento de energia e de telecomunicações não foi afetado pelo ataque, segundo a companhia.

Dois dias depois, a Eletronuclear, subsidiária responsável pelas usinas nucleares de Angra dos Reis da Eletrobras, também sofreu um ataque hacker. Em comunicado ao mercado, a Eletrobras informou que o incidente foi causado por um "ataque por software nocivo (ransomware) que alcançou parte dos servidores da rede administrativa". A companhia salientou, entretanto, que a rede administrativa não se conecta com os sistema operativos das usinas nucleares de Angra 1 e Angra 2, e que por isso não houve prejuízos ao fornecimento de energia.

Na semana retrasada, o site do Ministério da Saúde também foi alvo de um ataque conhecido como "defacement", uma espécie de "pichação" em que o invasor apenas altera a interface de uma página da internet. Neste caso, o objetivo do hacker teria sido chamar a atenção da pasta para a vulnerabilidade do website e a necessidade de mais investimento em segurança cibernética.

Isso sem falar do megavazamento de dados de 220 milhões de brasileiros em janeiro, cuja origem ainda não foi confirmada.

A série de ataques e invasões mostra quão vulneráveis estão os órgãos públicos e as empresas brasileiras na área de segurança cibernética. Até mesmo aquelas que lidam com serviços críticos e essenciais à população.

Mesmo que as empresas clamem não haver riscos à continuidade dos seus serviços, o risco de indisponibilidade sempre existe, afirma Julio Della Flora, coordenador e professor do Centro de Inovação VincIT, em Londrina.

Ele lembra de um ataque aos sistemas de enriquecimento de urânio de usinas nucleares do Irã, em 2010, através do vírus Stuxnet. Tudo indica que a infecção se deu através de um pendrive. "Malwares se executam sem acesso à internet e podem causar um estrago enorme também. Não é só porque o serviço não está conectado à internet que está livre de falhas."

"Não se pode falar que existe um sistema 100% seguro", diz ainda Gabriel de Oliveira Galdino, professor da Academia Senai de Segurança Cibernética, em Londrina. "Não existe sistema à prova de falha. Em algum momento ele vai ter uma brecha, por isso as empresas estão constantemente fazendo testes para sempre que achar falhas, consertar ou remediar."

O trabalho em home office trazido pela pandemia aumentou ainda mais os riscos, lembra Galdino. "Automaticamente você teve mais brechas do que era pra ter. Quando você está na empresa, tem todo um sistema de segurança. Queira ou não, abriu um leque muito maior do que tinha antes. A porcentagem de ataque cibernético foi lá em cima."

Ransomware

Os ataques de ransomware, que começaram a se popularizar nos últimos anos, são utilizados para "sequestrar" e criptografar dados, que seriam liberados pelo invasor mediante pagamento de um resgate. Della Flora alerta, no entanto, que não existe garantia de que o o criminoso vá devolver os dados após o pagamento. Portanto, a recomendação é não seguir as orientações do hacker sob nenhuma hipótese. Como geralmente o pagamento é solicitado em bitcoins, rastrear o criminoso fica ainda mais difícil.

"Nunca é aconselhado pagar o resgate. É uma prática extremamente desaconselhada porque reforça o comportamento do criminoso para aumentar esse tipo de ataque. Não há garantia nenhuma de que seus dados serão recuperados depois que você paga o resgate."

Os ataques de ransomware geralmente têm sucesso através de engenharia social, afirma o especialista. "Alguém envia um e-mail malicioso para um colaborador e o conteúdo desse e-mail provavelmente tem um anexo que na verdade é um ransomware, um executável que vai começar a criptografar os dados da máquina e se replicar para outras máquinas, servidores, tudo a que o usuário tiver acesso."

Outra forma de invasão é o criminoso obter as credenciais de algum colaborador para acesso remoto ao servidor da empresa. "Muitas vezes o usuário utiliza a mesma senha tanto no e-mail corporativo quanto no pessoal", observa Della Flora. Partindo dessa premissa, um criminoso que tem acesso à senha do e-mail de um colaborador através de incidentes de vazamento de dados, por exemplo, pode ter acesso a outros serviços utilizados por ele, como o terminal de acesso remoto aos servidores da organização onde trabalha.

Outra possibilidade é o invasor explorar uma falha no software do servidor da empresa, o que exige atualizações de segurança frequentes por parte das organizações. "Existem falhas nos servidores todos os dias, e se não existem políticas de atualização constante desses servidores, muitas vezes os criminosos passam semanas ou meses consumindo essas vulnerabilidades."

Motivação pode ser financeira ou de protesto

O ransomware geralmente é orientado a ganhos financeiros, diferente do defacement, que normalmente tem o objetivo de protestar contra algo. É o caso da invasão ao site do Ministério da Saúde.

O vazamento de dados, por outro lado, pode ter motivação financeira - já que os dados costumam ser comercializados na web. Mas o intuito também pode ser mostrar às organizações quão vulneráveis estão os seus sistemas. "Quanto mais acontecem vazamentos, mais ligadas as pessoas e as empresas vão começar a ficar na segurança", comenta Julio Della Flora, do Centro de Inovação VincIT.

Segundo o especialista, é comum sites governamentais, por exemplo, não serem atualizados desde a sua criação. "Nem todo desenvolvedor tem treinamento adequado em segurança da informação, desenvolvimento de software seguro. Isso acaba acumulando e acontecem várias falhas graves nesse tipo de site, principalmente os governamentais."

"A questão da segurança da informação foi tratada com negligência por muito tempo. Agora por conta de ataques o setor de segurança da informação está tendo mais visibilidade", continua o especialista. "Entretanto, acontece muito de as empresas privadas ou públicas acabarem tendo uma postura mais reativa e não preventiva. É muito comum agir somente depois de terem acontecido problemas. Enquanto as empresas tratarem o setor como despesa e não investimento, esse tipo de ataque vai continuar acontecendo."

'Fator humano é elo mais fraco da corrente'

Para aumentar a segurança da informação, mais do que investir em tecnologia, é necessário capacitar as pessoas, alerta Julio Della Flora, do Centro de Inovação VincIT. "Na segurança da informação, o fator humano é o elo mais fraco da corrente. As pessoas precisam ser treinadas de maneira para manipular informações que são muitas vezes confidenciais. Você pode ter os sistemas mais desenvolvidos, mas o fator humano ainda faz muita diferença."

"Em qualquer empresa, a gente pode ter vários equipamentos de segurança, regras e bloqueios, mas sempre vai ter uma pessoa humana que vai ter interações com o computador, o celular, que é onde ficam as maiores brechas", destaca Gabriel de Oliveira Galdino, da Academia Senai de Segurança Cibernética. "Em muitos casos, a porta de entrada foi alguma ação humana, e não uma falha da segurança da rede da empresa. Você tentar invadir um banco é muito difícil, ter acesso à conta de um usuário é o caminho mais simples. As empresas hoje em dia têm bastante treinamento de funcionários, e os funcionários precisam respeitar as políticas da empresa."