Vazamento de dados.
Essa é uma palavra que, muito provavelmente, você já viu associada a alguma notícia na internet. Facebook, Operação DeepWater e Ministério da Saúde te lembram de algo?
À medida que os dados crescem em tamanho e importância, também crescem as possibilidades deles serem expostos.
Mas não é porque é comum que está certo, não é mesmo?
Na verdade, esse é um problemão para as empresas — e elas precisam encontrar saídas para isso.
As big techs, como têm acesso a um número de informações ainda maior, passam a ter uma grande responsabilidade neste tema e, claro, nessa segurança.
Mas se você tem uma empresa, seja qual for seu porte, isso não pode passar batido. E como eu também tenho algumas, posso te ajudar bem com isso.
É hora de descomplicar esse tema, entender o que seu negócio pode fazer para se proteger e, ainda, compreender o papel da LGPD em tudo isso.
Bora nessa?
Mas ei, só uma coisinha antes! Quero te apresentar meu ebook gratuito com as principais e mais eficientes estratégias do marketing digital — e honestamente, é um tema que eu domino muito bem. Aproveite para baixar!
Afinal, o que é vazamento de dados?
Vazamento de dados (dá para chamar de violação de dados ou breach de dados também) acontece quando informações pessoais e sensíveis são expostas ou acessadas por pessoas não autorizadas.
E o que são dados pessoais e dados sensíveis?
Bom, segundo a LGPD, os pessoais são aqueles que são capazes de identificar uma pessoa.
Isso pode acontecer de forma direta ou indireta: eles podem imediatamente individualizar alguém ou, então, apenas de forma conjunta, podem tornar alguém identificável.
Exemplos?
Nomes, endereços, números de telefone, endereços de e-mail, números de cartões de crédito, senhas, históricos de transações, registros médicos, informações bancárias e muito mais.
Já os sensíveis, como também diz essa lei, são aqueles que permitem discriminar alguém por essa razão.
Quais são eles?
Identidade de gênero, orientação sexual, origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, referente à saúde ou à vida sexual, genético ou biométrico.
Considerando isso, os dados vazados costumam ser essas informações que só podem ser coletadas com a permissão do titular e que, claro, não devem ser abertas indiscriminadamente.
Como ocorre o vazamento de dados?
A resposta certa é: de diversas formas.
E muitas das quais são resultado de vulnerabilidades em sistemas de segurança, erros humanos ou atividades maliciosas.
A frequência também é bem alta.
O Brasil está em 10º lugar no ranking de vazamento de dados do segundo trimestre de 2023, segundo esse levantamento que achei da Surfshark.
Mas posso dar uma ideia mais concreta. Algumas razões mais comuns são:
- Ataques cibernéticos: hackers e cibercriminosos podem explorar vulnerabilidades em sistemas de tecnologia, como redes, servidores e aplicativos, para ganhar acesso não autorizado a dados sensíveis;
- Roubo de dispositivos: dispositivos como laptops, smartphones, tablets e unidades de armazenamento podem ser roubados, perdidos ou extraviados, expondo os dados armazenados neles. Mas nem sempre eles caem na mão de uma pessoa com boas intenções. Então, se não estiverem adequadamente protegidos por senha ou criptografia, fica fácil ter os dados vazados;
- Má configuração de segurança: firewalls, autenticação multifator e permissões de acesso podem ser negligenciados ou, ainda, feitos de maneira errada. E isso dá abertura para ataques e acessos não autorizados!
- Funcionários negligentes: erros humanos acontecem. Enviar e-mails com informações sensíveis para destinatários errados, armazenar dados em locais não seguros ou compartilhar inadvertidamente informações confidenciais já podem ser motivos para um vazamento de dados;
- Práticas intencionais: isso também pode acontecer. Funcionários mal-intencionados ou ex-funcionários podem roubar ou divulgar propositalmente informações sensíveis. Vingança, ganho financeiro ou outros motivos estão aí!
Quais são os principais riscos do vazamento de dados?
Se o vazamento de dados é uma prática criminosa, não precisa de muito para perceber que ele é uma ameaça.
Mas a questão é que não se trata apenas de não infringir a lei.
É uma série de problemas para as vítimas e, claro, para as empresas responsáveis.
Alguns mais reconhecíveis e outros menos.
Vamos entender quais são?
Roubo de identidade
Eu acredito que roubo de identidade é um dos riscos mais graves associados ao vazamento de dados para as vítimas.
Digo isso porque ele é, basicamente, quando criminosos têm acesso a informações pessoais de uma pessoa a ponto de conseguir se passar por ela.
Ou seja, elas usam de maneira fraudulenta mesmo.
E em nome da pessoa dá para fazer muita coisa: abrir contas bancárias, fazer compras com cartões de crédito roubados e até cometer crimes financeiros.
Litígios e penalidades legais
Agora pensando nas empresas, o primeiro e mais importante risco é a penalização.
Afinal, vazamento de dados é crime.
Empresas que não protegem adequadamente os dados podem enfrentar processos judiciais.
E se existe a exposição de informações sensíveis de indivíduos, essas pessoas podem entrar com eles.
No geral, isso envolve multas e penalidades regulatórias — justamente por não cumprir regulamentações de privacidade, como o GDPR e a LGPD.
Danos à reputação
Ok, passado a questão legal, a gente pode pensar também em reputação, algo que é um ativo intangível para os negócios.
Vazamentos de dados podem afetar a imagem das organizações. É marketing inverso.
Isso é até intuitivo, afinal, se você não consegue proteger os dados dos seus clientes, como você espera que eles confiem em você?
Mas é algo bem imediato: seu público vai se sentir traído e abandonar sua empresa — e ainda vai para sua concorrência direta.
Prejuízos financeiros
Daí, você pode pensar: a perda de clientes não impacta a receita?
Sim.
Exatamente isso!
Você vai ter menos pessoas comprando ou acessando seus serviços pela desconfiança e claro que isso compromete o quanto você fatura mensalmente.
Só que o problema é ainda maior, porque você precisa gastar com o próprio problema.
Os custos associados à investigação, mitigação e resposta a vazamentos de dados podem ser consideráveis — além das multas!
Isso inclui gastos com consultorias de segurança, notificação das pessoas e possíveis acordos de indenização.
Só a título de informação: o custo médio global de uma violação de dados em 2023 foi de 4,45 milhões de dólares, um aumento de 15% em 3 anos. Os dados são, inclusive, da IBM.
Perda de propriedade intelectual
Um último risco que nem todo mundo pensa inicialmente é a perda de propriedade intelectual.
Pensa em empresas que têm seus segredos comerciais, inovações ou informações estratégicas vazadas.
Agora, imagine o que elas podem sofrer perda de vantagem competitiva no mercado?
Os concorrentes, por exemplo, podem copiar ideias, produtos ou estratégias, reduzindo a sua singularidade.
Isso é um problema considerável.
Principais golpes para tomar cuidado
Os ataques cibernéticos merecem uma atenção especial porque, de fato, são muitos.
Mas há dois que têm uma forte relação com vazamento de dados e quero explicar um pouco a seguir.
Vamos lá?
Phishing
É aquele golpe clássico de e-mails falsos ou mensagens de texto que fingem ser algo legítimo.
A pessoa criminosa por trás dele quer que você revele informações pessoais, como senhas ou números de cartão de crédito.
Nesse caso, pensando em empresas, os alvos são os funcionários de forma individual.
Se caso as senhas de funcionários são expostas, os criminosos podem invadir contas e usá-las de maneira errada.
Mas, ao mesmo tempo, os colaboradores também podem compartilhar sem querer informações de alta confidencialidade da própria empresa.
De toda forma, os dados são vazados.
Spoofing
Spoofing é uma técnica usada por cibercriminosos para falsificar ou mascarar informações de identificação — como endereços de e-mail, números de telefone ou endereços IP.
Ou seja, parece ser uma origem legítima quando na verdade não é.
A intenção por trás de um ataque de falsificação é conseguir instalar malware e orquestrar outros crimes com as informações obtidas
Como, por exemplo, o vazamento dessas informações.
Se você achou semelhante com o crime anterior, explico a diferença: em vez de roubar dados, o spoofing tenta representar a identidade de alguém para, depois, cometer um crime com essas informações.
SIM swap
O SIM swap é um golpe sofisticado que envolve a transferência fraudulenta do número de telefone de uma vítima de um cartão SIM para outro,
Muitas vezes, é controlado por um cibercriminoso.
Esse tipo de ataque é preocupante justamente porque permite aos invasores assumir o controle de contas online da vítima.
Mas e para o vazamento de dados?
O SIM swap pode se tornar um problema especialmente quando os funcionários utilizam números de telefone corporativos para autenticação de dois fatores em contas sensíveis.
Se um funcionário cair em um golpe de SIM swap, os invasores podem ganhar acesso a contas de trabalho e informações confidenciais da empresa.
Como evitar o vazamento de dados na internet?
Bom, de maneira geral, evitar o vazamento de dados na internet requer uma abordagem abrangente que envolve boas práticas de segurança digital e consciência constante.
Talvez isso seja muito vago.
O que quero dizer é que as empresas precisam agir ativamente para se proteger de ameaças —ou do seu próprio desconhecimento.
Há algumas dicas gerais para isso:
- Implementar firewalls, sistemas de detecção de intrusões e atualizações regulares de software para proteger contra ameaças.área para proteger contra ameaças;
- Definir políticas de acesso e privilégios para funcionários, limitando o acesso apenas ao necessário;
- Usar criptografia para proteger dados em trânsito e armazenados, dificultando a compreensão em caso de vazamento;
- Educar os funcionários sobre boas práticas de segurança, identificação de phishing e manipulação segura de dados;
- Realizar testes regulares de penetração e avaliações de vulnerabilidades para identificar fraquezas;
- Monitorar atividades suspeitas na rede e nos sistemas para identificar potenciais violações.
Essas são dicas boas e essenciais.
Mas o que eu quero trazer como dica diferencial aqui é o que as big techs têm feito para esse problema que, muitas vezes, a envolvem.
No começo de maio deste ano, a Samsung decidiu criar um política interna que impõe limitações ao uso de ferramentas de IA em dispositivos conectados às suas redes.
Li essa notícia na TechCrunch.
Mas por que isso aconteceu?
Na verdade, foi uma resposta a um incidente de vazamento acidental de dados confidenciais para o Chat GPT.
O Group-IB revelou que mais de 100 mil contas dessa ferramenta foram vazadas com credenciais armazenadas para serem negociadas nos mercados ilegais da dark web. E isso desde 2022.
Sim, os chatbots de IA são funcionais e práticos, mas também já tem se envolvido com a exposição de informação.
Mas o que impressiona é que essa medida de proteção não é isolada. Outras big techs seguiram o mesmo caminho.
Apple, Amazon e até mesmo… o Google.
A Reuters mostrou nessa notícia que a Alphabet Inc (é a empresa controladora do Google!) aconselhou seus funcionários a não inserirem informações confidenciais nos chatbots de IA.
E isso incluiu até o Bard, chatbot, que está em fase experimental, da própria empresa.
Então, fica aqui mais um grande reforço: não confiar cegamente nas novas ferramentas para dados pessoais porque se sabe muito pouco.
E as empresas que já passaram por vazamentos estão cada vez mais atentas a isso.
O que fazer em caso de vazamento de dados?
Bom, não adianta chorar pelo leite derramado — e você sabe disso.
Se já vazou, é hora de agir.
Então, o primeiro e principal passo é saber exatamente o que aconteceu.
E quem diz isso não sou eu, mas a Cartilha de Segurança para Internet, feita pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) e outras entidades.
Isso requer identificar aspectos, como:
- Quais dados vazaram, afinal, assim fica mais fácil saber como agir;
- Quais medidas de mitigação serão tomadas pela organização;
- Quais medidas devem ser tomadas pela vítima;
- Quais são as datas do potencial vazamento .
Mas há também outras medidas, ok?
Por exemplo, entrar em contato com as pessoas que tiveram os dados comprometidos para informá-las sobre o incidente
Se o vazamento envolver credenciais de acesso ou tokens de autenticação, é bom recomendar que os usuários alterem suas senhas imediatamente.
Caso as informações financeiras estejam comprometidas, sugiro que os afetados monitorem suas contas bancárias e cartões de crédito em busca de atividades suspeitas.
Muitas vezes, também, é essencial contar com especialistas em segurança cibernética para ajudar na investigação e definição de práticas para o futuro!
Como a LGPD pode agir nesses casos?
Não tem como falar de vazamento de dados e privacidade sem falar dela.
A Lei Geral de Proteção de Dados (LGPD).
(Tenho certeza que você já escutou várias vezes essa sigla!)
Essa é a legislação brasileira que trata da privacidade e proteção de dados pessoais.
Por isso, estabelece regras específicas para o tratamento de dados pessoais por parte de empresas e organizações.
Em casos de vazamento de dados, a LGPD tem várias implicações e medidas, como:
- Notificação às autoridades e titulares de dados: a LGPD exige que as empresas notifiquem a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados se isso acontece. Ah, e precisa acontecer o mais breve possível!
- Sanções e penalidades: a lei também prevê sanções e penalidades para empresas responsáveis. Isso varia entre advertências até multas significativas. É um valor padronizado. Pode chegar a até 2% do faturamento anual da empresa, com um limite máximo de R$ 50 milhões por infração;
- Contratos e responsabilidade compartilhada: empresas que compartilham dados com terceiros (como fornecedores ou parceiros) são obrigadas a estabelecer contratos que garantam que esses terceiros também cumpram as disposições da LGPD. Isso quer dizer que, em caso de vazamento causado por um terceiro, a responsabilidade é compartilhada também.
Vazamento de dados no Brasil
Mas, então, se estamos falando de um problema tão real, tão comum e, veja só, tão sério, nada mais justo que falar sobre casos dele, não é mesmo?
Resolvi trazer alguns para você entender.
Guardou os nomes que eu falei lá em cima?
Agora vou contextualizar.
Operação Deepwater
No início de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) chamou a Polícia Federal para descobrir um vazamento gigantesco de dados de mais de 223 milhões de brasileiros.
Inclusive, se você notar, é mais gente do que a população inteira do país.
Pois é.
O crime incluia até pessoas falecidas.
Tudo isso foi descoberto pela empresa PSafe.
Foi bem sério: o vazamento tinha nome completo, fotos, endereço, renda mensal e até o CPF.
Embora o relatório da Polícia Federal não tenha sido concluído, em março, a PF cumpriu mandados de p ar na internet por causa de uma falha de segurança do Ministério da Saúde.
Sim, era nome completo, CPF, endereço e telefone, que deveriam ser acessados só com login e senha, estão expostos.
E acredite se quiser, essa não foi a primeira vez.
A Open Knowledge Brasil (OKBR), que é uma organização focada em segurança digital, transparência e acesso a dados públicos, já tinha dado um aviso por causa de uma falha parecida.
Entre 2018 e 2019, aconteceram uma série de vazamento de dados pelo Facebook, que agora
No primeiro ano, um ataque hacker conseguiu botar as mãos em dados de pelo menos 29 milhões de usuários. Depois, no outro ano, a história se repetiu. Outra vez, pessoas criminosas acessaram informações secretas dos usuários cadastrados na rede social.
Foram desde senhas, contatos da data de nascimento até status de relacionamentos, check-ins, fotos, stories, curtidas, comentários e conversas.
Consequência?
Uma multa de R$ 20 milhões por dano moral coletivo e individual pelos episódios de vazamentos de dados de usuários da rede social.
Um belo exemplo dos prejuízos financeiros que eu falei antes.
Netshoes
Para fechar os exemplos, temos também a Netshoes.
Em 2019, ela precisou pagar uma indenização de R$ 500 mil em danos morais como um acerto com o Ministério Público do Distrito Federal.
Cerca de 2 milhões de clientes tiveram dados expostos na internet.
Detalhes como nome completo, CPF, e-mail e até histórico de compras escaparam por causa de falhas nos sistemas da empresa.
Inclusive, na época, a Netshoes fez questão de soltar um comunicado para a imprensa.
Vale dizer que para os clientes, como você já sabe, é obrigação legal.
A empresa também procurou “órgãos competentes” para analisar o ocorrido e, inclusive, buscou resolver tudo do jeito mais transparente possível.
Antes da gente finalizar esse assunto, só queria te lembrar mais uma vez do meu ebook gratuíto e ideal para você que está buscando estratégias de marketing digital. Elas realmente funcionam!
Conclusão
A quantidade de informações na internet nos lembram que, no mundo virtual, todos nós somos um pouco detetives de dados.
A lição aqui?
Os vazamentos passados devem ser um alerta de que os rastros digitais merecem uma segurança elevadíssima.
Afinal, o custo para as empresas é alto: sofrem penalizações, queima sua imagem, perdem dinheiro e até mesmo propriedade intelectual.
O mais importante é tentar fazer com que isso não aconteça — e fica a super dica das big techs que eu trouxe! —, mas se acontecer, não deixe de agir.
Agora, eu te pergunto: como você tem protegido os dados que sua empresa tem acesso?
Me conte nos comentários!
Nos vemos em breve!
Perguntas frequentes sobre vazamento de dados
O que é vazamento de dados?
Vazamento de dados é quando informações pessoais ou confidenciais são expostas, podendo ser acessadas por terceiros não autorizados.
Quais são os riscos do vazamento de dados?
Os riscos incluem roubo de identidade, fraudes financeiras, invasão de privacidade, danos à reputação e possíveis consequências legais.
Como ocorre o vazamento de dados?
Ocorre por meio de ataques cibernéticos, falhas de segurança, compartilhamento inadequado de informações ou perda física de dispositivos contendo dados.
Como evitar o vazamento dos seus dados na internet?
Use senhas fortes, ative a autenticação multifator, evite compartilhar informações pessoais em redes sociais, use conexões seguras (HTTPS) e mantenha-se informado sobre práticas de segurança digital.
Você quer resultados imediatos?
Minha agência pode fazer todo o trabalho pra você. Somos especialistas em:
- SEO - Colocamos seu site no topo das pesquisas do Google
- Mídia Paga - Fazemos seu negócio alcançar quem importa no momento certo
- Data & Conversion Intelligence - Desbloqueamos as conversões do seu site e criamos dashboards para melhores análises