Por Anderson Torres, Head de Segurança na idwall
Na coluna Palavra do Especialista, profissionais de diferentes áreas da idwall compartilham sua expertise
Um dia desses, um colega pediu uma daquelas consultorias rápidas sobre segurança da informação. “É meio pessoal”, disse ele, antes de fazer um relato muito interessante a respeito de um contato recebido por seus familiares (mãe, irmã e tia) de alguém utilizando seus dados pessoais —nome, fotos e outras informações.
Os parentes suspeitaram do contato e rapidamente tomaram medidas para bloquear o número. Depois de explicar as muitas maneiras pelas quais um fraudador poderia obter tais informações e de instruí-lo sobre como blindar suas redes sociais, o colega fez, surpreso, a seguinte pergunta: “Mas como o fraudador consegue ter acesso ao número de telefone das pessoas da minha família?”. É uma boa pergunta para um profissional de segurança fazer.
No Brasil, somente este ano já fomos bombardeados por inúmeros incidentes de segurança envolvendo vazamentos de dados pessoais — dados importantes que, em conjunto, formam um verdadeiro dossiê a respeito de qualquer brasileiro. Virtualmente todos os nossos dados estão disponíveis na internet (na deep web, ou dark web) para aqueles com disposição e recursos para utilizá-los.
O que você vai conferir:
Dados pessoais expostos na internet
- Nome completo
- Nome dos pais
- CPF
- Sexo
- Data de nascimento
- Veículos (placa e número de chassi)
- Dados financeiros (score de crédito, renda, histórico de cheques sem fundo)
- Endereços
- Número de telefone (com nome completo, hora de chamadas e tempo de chamadas)
- Detalhes sobre Imposto de Renda
- Fotos de rosto
- Benefícios do INSS
- Escolaridade
- CNPJ (razão social, nome fantasia e data de fundação)
- Cadastro no LinkedIn
- Dados do Facebook
Os vazamentos de dados ocorridos em 2021 no Brasil
O aumento do tráfego digital de dados em decorrência da pandemia de Covid-19, unida ao aprimoramento das tecnologias disponíveis para roubos de dados, fizeram de 2021 um ano recorde para os vazamentos de dados no Brasil ainda no primeiro semestre.
Confira a lista de todos os vazamentos de dados que aconteceram este ano no país:
Mês | Órgão/Empresa | Vazamento | |
Janeiro | Detran – Santa Catarina | ~10 milhões de multas e informações sobre veículos e seus proprietários | |
Janeiro | Denatran | ~100 milhões de dados de veículos | |
Janeiro | – | ~223 milhões de CPFs, fotos, endereços, telefone, email e outras informações | |
Janeiro | – | 40 Milhões de CNPJs | |
Fevereiro | Empresas de telefonia | 100 milhões de dados de celular | |
Março | Ministério do Trabalho | Dados de 9 milhões de brasileiros vazados | |
Março | Seguradora – Não revelada | 36 milhões de registros vazados | |
Abril | 533 milhões de dados vazados – * milhões de brasileiros | ||
Abril | Iugu | 1.7TB de dados financeiros vazados | |
Abril | Descomplica | 4,8 milhões de emails e informação de cartão de crédito |

Por que os hackers roubam dados pessoais?
A suposição mais óbvia que se pode fazer a respeito desse ecossistema, que aparentemente só cresce, é: se há oferta (dados), é porque há um ambiente que estimula e remunera muito bem essa prática.
Para se ter uma ideia dos valores aplicados nessas transações, um pacote com dados de mil pessoas custa algo em torno de 500 dólares (R$2.835,00), ou 2 dólares (R$11.34) por registro. E estamos falando de quantidades gigantescas de dados.
Existe ainda uma motivação mais prosaica que o desejo de obter lucro, relacionada ao reconhecimento por parte dos pares do cibercrime. Os dados que porventura forem obtidos por tal pessoa podem chegar a ser oferecidos gratuitamente na internet. Além da venda direta dos dados, a possibilidade de o próprio hacker utilizá-los para obter empréstimos, comprar imóveis, aplicar golpes e fraudes é certamente uma motivação atrativa.
Como evitar que sua empresa passe por um vazamento de dados
Gigantes como Facebook, LinkedIn e Microsoft, instituições financeiras e órgãos governamentais já sofreram e continuam sofrendo ataques, a despeito de quão robustos sejam seus programas de segurança. Então, qual a probabilidade de a sua empresa passar por isso?
Essa talvez seja a resposta mais dura a ser dada e enfrentada por um profissional de segurança da informação: a probabilidade é alta. E isso acontece por várias razões.
Primeiramente, é preciso considerar que o número de profissionais de segurança, pesquisadores, entusiastas e curiosos aumentou significativamente nos últimos anos, bem como o material necessário para explorar vulnerabilidades em qualquer espaço. Programas de bug bounty, salários mais altos e oportunidades de trabalho no exterior fazem da área uma fonte de desejo de muitos jovens autodidatas.
De fato, o conhecimento necessário para explorar falhas de segurança se tornou uma espécie de commodity acessível a qualquer pessoa com interesse. Por outro lado, ainda que empresas empreguem quantias enormes em tecnologia, ferramentas e proteções, a demanda por profissionais qualificados em defesa cibernética torna difícil o combate justo.
Na contramão dos esforços corporativos, o principal vetor de ataque é formado por pessoas que têm dificuldade em aplicar o que aprendem nos programas de conscientização em segurança no seu dia a dia. Isso explica porque 94% dos malwares são entregues e executados por e-mail e 34% das violações de dados são causadas por agentes internos. Considerando que todas as empresas têm interesse na coleta de dados de alguma forma e nem todas estão adequadamente preparadas para manter esse acervo seguro, o cenário não poderia ser mais amedrontador.
Estratégias de proteção como Zero Trust, SASE e CARTA têm sido cada vez mais utilizadas na avaliação de riscos e tomada de decisão. No entanto, gostaria de explorar um outro conceito recente relacionado especificamente à última milha de proteção de privacidade chamado de PET (Privacy Enhancing Technologies), visando manter o dado protegido em todas as fases da utilização, desde a inserção até a sua utilização e processamento (at-rest, in-transit, in-memory).
Como aumentar a segurança de dados com PET
As PETs basicamente consistem na utilização de tecnologias que minimizem ou eliminem a posse efetiva de dados pessoais ou sensíveis sem perder sua funcionalidade. Em outras palavras, é um método que garante o consumo, melhoria dos serviços e inteligência de produto sem utilizar o dado real do usuário.
Utiliza-se de um dado que faça sentido computacionalmente, mas que seja completamente descartável e inútil como informação a respeito de um indivíduo caso seja utilizado fora do ambiente de soluções da empresa.
Dentro das ferramentas disponíveis, podemos utilizar métodos criptográficos como Homomorphic Encryption, que prevê a utilização e processamento de um dado mesmo que seja ilegível e criptografado; Privacidade Diferencial, que permite a extração de estatísticas de um conjunto de dados sem revelar a identidade do usuário; e, por fim, métodos de Anonimização ou Tokenização para adicionar camadas de segurança na coleta, no processamento e armazenamento do dado.
A utilização de PETs satisfaz os requisitos de anonimização inclusos na LGPD e também nos auxilia a responder de forma mais eficaz as demandas de privacidade exigidas pela sociedade. Na idwall, as pesquisas nos direcionam para um modelo que visa proteger os dados de nossos clientes e usuários, tratando essa informação de forma completamente anônima até o momento que seja estritamente necessário. Esse modelo em desenvolvimento visa, entre outros objetivos, garantir que em casos de vazamentos de dados (que vimos que são praticamente inevitáveis) a informação seja 1) sem valor comercial e 2) não comprometa a identidade de nossos clientes e usuários.
Evidentemente, técnicas como essa não tornam uma empresa imune aos ataques e ameaças de segurança — aliada às PETs, adotados diversas outras estratégias de proteção de dados. Afinal, temos o compromisso de nos tornarmos a maior empresa de identidade digital do país, e tecnologias como as PETs fazem da idwall uma empresa de validação de identidade digital completamente alinhada com os desafios modernos e anseios da sociedade por privacidade.
Espero honestamente que o colega que me fez a pergunta sobre segurança da informação tenha saído satisfeito com a resposta e, também, esperançoso de que existem empresas realmente comprometidas com a segurança e privacidade de seus usuários e com ferramentas e comportamentos que auxiliam na mitigação dos riscos.
Para saber mais sobre as estratégias de segurança da informação da idwall, visite nossa Central de Confiança! E, se quiser entender como as nossas soluções podem fortalecer e otimizar os seus processos de onboarding digital e validação de identidade, entre em contato pelo formulário abaixo: