De acordo com uma matéria publicada pelo portal The Hack, foram expostos um aproximado de 250 GB de documentos digitalizados, referentes a clientes de algumas instituições financeiras. A notificação veio de um grupo independente de pesquisa chamado Data Grupo, que se dedicam a pesquisas de vulnerabilidades em sistemas industriais.
Até o momento foram identificadas informações oriundas de quatro instituições brasileiras. E,segundo a apuração, o pack de dados contém versões digitalizadas de documentos de identificação pessoal como CPF, RG, CNH, contracheques, comprovantes de endereço e até cartões de crédito. O total de clientes afetados não foi divulgado em virtude do volume de informações vazadas e a desorganização de tais arquivos.
Vale ressaltar que apesar dos documentos pertencerem a diversas instituições diferentes, o a maior afetada, neste caso, foi o Banco Pan (antigo Banco PanAmericano).
Não existem indícios até então que essas informações circularam na internet, não acarretando riscos aos clientes que tiveram suas informações divulgadas. Contudo, problemas como esse não podem ocorrer, assim, iremos analisar o que acontecido e formas de evitar esse tipo de vazamento.
Entendendo o problema
Por conta de um erro de configuração, as informações que estavam armazenadas em um S3 (Simple Storage Service) na nuvem da Amazon, estavam públicas. Ou seja, não havia nenhuma barreira que as protegesse de acessos indevidos. Dessa forma, usuários não identificados podiam não somente visualizar os arquivos, mas também fazer downloads dos documentos.
E por incrível que pareça, esse tipo de erro é mais comum que imaginamos. Erros de configuração em buckets do S3 podem expor informações sensíveis e causar estragos em organizações de todos os tamanhos.
Contudo, o maior problema nesse caso não é a má configuração feita no S3 da Amazon. Para entendermos a causa raiz desse problema é preciso ir um pouco mais a fundo. Algo a ser ressalto é que o problema ocorreu no ambiente de um parceiro comercial do Banco Pan. Ou seja, por mais robusta que fosse a segurança do ambiente de dados do Banco, o problema estava além do seu controle.
Esse fato inocenta o Banco? Não, afinal se ele fornece as informações a terceiros seja para qualquer que seja a finalidade (visto que existem legislações que permitem tal operação em casos específicos), ele ainda tem responsabilidade de manter essas informações seguras.
E a partir desse entendimento, podemos afirmar que não adianta uma empresa ter um ambiente com o que há de mais robusto e efetivo para Segurança da Informação e proteção de dados se ela realiza acordos, ou possuir processos que contém dados sigilosos, com empresas que não possuem um nível de segurança adequado à política de segurança da informação da empresa contratante (por exemplo o Banco Pan).
Possíveis problemas que podem acontecer
A partir de um vazamento dessa magnitude, com tantas informações sensíveis de diversas pessoas diferentes, ciber-criminosos podem se aproveitar e aplicar diversos golpes direcionados como um phishing (sem contar a possibilidade de utilização de tais informações para cadastros indevidos).
Além disso, os dados vazados podem ser utilizados para fraudar documentos e cartões de crédito dos clientes, ou abrir contas em seus nomes.
Como evitar esse tipo de problema
De forma prática e objetiva existem duas abordagens complementares que precisam ser adotadas imediatamente por TODAS as instituições que terceirizem qualquer tipo de serviço e que de alguma forma entregam informações, sensíveis ou não, aos parceiros comerciais.
A primeira ação é garantir que as empresas parceiras, que estão recebendo os dados, tenham um ambiente seguro para trabalhar com as informações. Mas como isso é possível? Através da formulação de um contrato de prestação de serviço que tenha como pré-requisito um ambiente protegido por parte. Nesse caso, podem haver muitas particularidades e cada contrato precisa ser analisado separadamente.
Claro que na maioria dos casos o controlador não exigirá o mesmo nível de segurança que ele tem em seu ambiente de um prestador de serviço, pois possivelmente não seriam encontrados parceiros comerciais com tal robustez. Mas existem níveis mínimos que precisam ser exigidos a fim de evitar problemas como o ocorrido com o Banco Pan.
A segunda ação é obter uma solução que consiga detectar o envio de dados para fora do seu ambiente de forma a ter o entendimento de quem recebe tais dados e como. Ou seja, obter visibilidade sobre os dados que são passados, como eles estão sendo transmitidos, para qual finalidade, como serão descartados após a utilização, e claro, entender se o destino que eles estão tendo é seguro e se existe um contrato de processamento que contemple os controles mínimos exigidos pelo controlador.
A responsabilidade é compartilhada
Garantir a segurança dos dados é uma tarefa difícil, complexa, porém necessária. O caso do Banco Pan demonstra claramente as brechas que existem para que informações, sejam elas sensíveis ou não, vazem e causem estragos inimagináveis.
A nota feita pelo Banco Pan informa não haver ocorrido qualquer tipo de intrusão em seus sistemas, contudo isso não o isenta da responsabilidade pela segurança das informações. O que sugerimos a todos é: revisem seus contratos de prestação de serviço e garantam ambientes seguros para as informações.
A Lei Geral de Proteção de Dados entra em vigor em agosto do próximo ano, e problemas como o ocorrido preveem penas tanto para o Controlador dos dados quanto para o operador.
Garanta que os dados que estão sob sua responsabilidade estejam seguros.
Comments