Falha em configuração de servidores da Claro abre brecha para vazamento de dados e golpes

0
232

Uma falha na configuração dos servidores da Claro e NET detectada no final de agosto abriu a possibilidade para vazamento de dados de todos os colaboradores da operadora de telefonia. A brecha permitia que qualquer pessoa de fora da empresa conseguisse acessar cópias de documentos, assinaturas, credenciais virtuais e fotos de mais de 21 mil funcionários, cada uma organizada por pastas com o nome de cada colaborador.

A descoberta veio do consultor de tecnologia de informação, Francisco Cavalcante, num endereço online utilizado para acesso remoto, com dados de empregados e prestadores de serviços terceirizados do país inteiro. A falha foi descoberta no dia 19 de agosto, porém não é possível precisar desde quando a vulnerabilidade estava no ar.

O vazamento abre margem para que cibercriminosos utilizem os documentos e credenciais para fraudes que vão desde empréstimos, contas de banco a cartões de crédito. Roubos de contas, bem como ataques que utilizem da imagem das vítimas para atingir clientes da operadora também podem estar em curso.

Em nota, a Claro respondeu que está tomando providências para a apuração, e que o endereço já foi desabilitado.

Embora não seja possível estimar os prejuízos para além do vazamento de dados da Claro, especialistas apontam que o cenário é grave, e que as vítimas da brecha devem se preparar para o pior. Cláudio Dodt, sócio da DARYUS Consultoria de cibersegurança, afirma:

“Uma vez que os dados estavam em servidor publicamente disponível na internet, acessível a qualquer pessoa sem exigir nenhum tipo de autenticação, a chance de a vulnerabilidade ter sido explorada por cibercriminosos pode ser considerada bastante elevada.”

O analista de segurança lamenta também que erros de configuração como o deste cenário se façam tão presentes, já que figuram no OWASP Top 10 — a lista das dez falhas de segurança de aplicativos da web mais perigosas. E que uma falta de abordagem sistemática de proteção virtual leva a estes resultados.

“Seja por falta de conhecimento, desatenção ou, em casos extremos, algo proposital, o resultado acaba sendo o mesmo: informações sob a responsabilidade da organização ficam expostas a um risco desnecessário e inaceitável.”

Por fim, Dodt conclui que os cibercriminosos não tendem a utilizar falhas obscuras e desconhecidas, mas sim as que já são entendidas por cibersegurança, porém que não estão asseguradas.

“A maioria das quais já possui uma solução viável, como neste caso em que provavelmente um erro básico de configuração foi responsável por expor dados pessoais de inúmeros titulares.”

Vítimas devem ficar atentas e buscar informações

Símbolo da LGPD estampado no botão enter, de um teclado

Lei Geral de Proteção de Dados Pessoais obriga instituições a informarem vítimas sobre detalhes do comprometimento.

Após o alerta de vazamento, colaboradores da Claro devem ficar atentos a possíveis desdobramentos negativos e movimentações inadequadas envolvendo seus dados.

Marcio Chaves, sócio do Almeida Advogados e coordenador do MBA em Privacidade e Proteção de Dados do CEDIN, explica que as vítimas possuem dois direitos essenciais nestes cenários: o primeiro, de saber em detalhes a ocorrência do incidente sobre seus dados pessoais afetados. E o segundo, caso se comprove o dano, de receber uma indenização para repará-los.

“Na prática, isso significa que a única forma de a empresa se isentar de responsabilidade é seguir à risca o que é exigido pela LGPD”, explica.

O professor explica ainda que as vítimas podem procurar orientações com a Autoridade Nacional de Proteção de Dados (ANPD), e que precisam fazer monitoramento do uso de seus dados pessoais, como no serviço Registrato, do Banco Central.

“Esse monitoramento pode ser feito por meio de serviços de consultas feitas ao nome da vítima em bureaus de dados como a Serasa, para saber quais empresas estão consultando o nome da vítima,” pontua. “Caso não seja alguma empresa que a vítima se relacione, pode indicar que algum fraudador está usando seus dados pessoais.”

Via Olhardigital