Topo

Carlos Affonso Souza

É hacker mesmo? O que explica a banalização de vazamentos de dados no país

Vitaly Vlasov/ Pexels
Imagem: Vitaly Vlasov/ Pexels

29/01/2021 04h00

Receba os novos posts desta coluna no seu e-mail

Email inválido

Você sabia que na semana passada vazaram na rede os dados de 220 milhões de brasileiros, incluindo nome, CPF, gênero, data de nascimento, nome do pai e da mãe, estado civil, vínculo familiar, email, telefone, endereço, escolaridade, emprego, salário, FGTS, score de crédito, foto de rosto e classe social? Só faltou signo e cor favorita. Muito provavelmente os seus dados estão nesse vazamento de proporções épicas. Sabe o que aconteceu desde então? Pouca coisa. Afinal de contas, toda semana tem vazamento, não é?

Na semana passada o Ministério da Saúde tirou do ar o aplicativo TrateCov, que recomendava tratamento precoce contra a covid-19, depois de uma manifestação do Conselho Federal de Medicina solicitando a sua "retirada imediata". O aplicativo havia sido lançado formalmente pelo ministro Pazuello há poucos dias. O que disse o Ministério da Saúde? Que "o sistema foi invadido e ativado indevidamente".

Vale perguntar: quem invadiu? Foi um ataque interno vindo do próprio ministério? A quais dados teve acesso? Por que adotou a curiosa estratégia de invadir e lançar o app? E por que o ministro fez um lançamento formal de um aplicativo que havia sido colocado no ar pelo hacker?

Alguma coisa não fecha nessa história. Ou o ministro não sabia que o app havia sido lançado pelo hacker ou a explicação de que havia ocorrido uma invasão surgiu a posteriori para resolver o problema.

Acontece que botar a culpa no hacker não resolve problema algum. Ao contrário, a banalização dos incidentes de segurança digital e a recorrência com que autoridades creditam comportamentos à invasão de contas e de sistemas é extremamente preocupante.

Ao não levarmos a cibersegurança a sério estamos chancelando que basta dizer que "foi o hacker" que os problemas magicamente desaparecem. Não é preciso mais investigar nem apresentar informações adicionais.

Em 2020 já tinha sido a vez do ministro do Meio Ambiente, Ricardo Salles, que depois de ser criticado pelo deputado Rodrigo Maia, publicou no Twitter uma resposta lacônica: "nhonho" (em referência ao personagem gordinho do seriado Chaves). O ministro prontamente apagou a mensagem e declarou que a sua conta havia sido "utilizada indevidamente".

É grave que contas em redes sociais de ministros possam ser invadidas e utilizadas com tamanha facilidade. Será que o ministro usava duplo fator de autenticação? Já tivemos um resultado das apurações sobre o que aconteceu de fato?

O ex-senador Magno Malta recentemente divulgou uma foto libidinosa nas redes sociais. Rapidamente correu para informar que seu celular havia sido clonado.

Ontem mesmo um assessor do vice-presidente teve exposta uma conversa com um gabinete de um deputado federal sobre impeachment na qual dizia que o Mourão era mais preparado do que o Presidente. Indagado sobre o fato o assessor respondeu: "Meu medo é que meu telefone tenha sido hackeado e alguém tenha feito alguma m#@* e apagado na sequência. Esse é o meu medo agora."

Existem três fatores que fazem da alegação de que "a culpa é do hacker" um sucesso de público e de crítica: o desconhecimento sobre como funciona a tecnologia, a ausência de uma cultura de proteção de dados e de cibersegurança, além da nossa natural propensão a botar a culpa nos outros.

É curioso perceber como a expansão do uso da internet e de suas aplicações mais populares não necessariamente acontece na mesma velocidade com a qual as pessoas passam a se informar mais sobre como a própria internet e suas aplicações favoritas funcionam.

Ao desconhecer questões básicas sobre a tecnologia que viabiliza uma parte substancial de nossas vidas, fica mais fácil acreditar que alguém, dotado de um saber arcano, conseguiu driblar as medidas de segurança e invadir uma conta. Acabamos até dando um certo ar místico à façanha, creditando o seu sucesso ao talento inigualável do invasor (que nem mesmo sabemos explicar).

Esse distanciamento entre nós, leigos, e eles, os hackers, acaba fazendo com que qualquer simples exploração de vulnerabilidades passe a creditar o seu autor como sendo um grande hacker.

Vimos isso na divulgação de mensagens privadas trocadas por autoridades e membros da força-tarefa da Lava Jato. O conhecimento detido pelos "hackers" nesse caso poderia ser adquirido por qualquer um que tivesse a paciência para ver dois ou três vídeos no Youtube que ensinavam a burlar o sistema de acesso às contas no aplicativo Telegram. Dá para chamar os hackers de Araraquara de hackers?

hacker  - Getty Images - Getty Images
Imagem: Getty Images

A ausência de uma cultura robusta de proteção de dados e de cibersegurança também contribui para esse cenário. Entender o que são dados pessoais e o que pode ser feito com eles é um primeiro passo para que as pessoas se conscientizem da gravidade dos inúmeros vazamentos que ganham destaque na mídia.

Dados muito íntimos, como questões de saúde, são frequentemente vazados em incidentes ou compartilhados indevidamente por empresas.

O Grindr, rede social de encontros focada no público LGBT+, recentemente foi multada na Noruega por compartilhar os dados de seus usuários com anunciantes. A mesma empresa já havia compartilhado indevidamente dados extremamente sensíveis como o status do vírus HIV de seus usuários.

A Prefeitura de São Paulo, durante a gestão de Fernando Haddad, deixou disponível na internet uma série de planilhas com dados de saúde de pacientes atendidos pelo SUS e pela Secretaria Municipal de Saúde. Para as pacientes gestantes havia informações sobre o parto e a gravidez (inclusive se era de risco ou se ocorreu aborto). Os dados podiam ser encontrados mediante uma busca simples no Google, sem pedir qualquer identificação do usuário ou senha.

O Brasil apenas recentemente aprovou uma lei geral de proteção de dados (LGPD) e sua implementação não vai fazer com que indivíduos, empresas e governos passem a dar a devida importância ao tema da noite para o dia.

Ainda fornecemos alegremente o nosso CPF nas farmácias em troca de um possível desconto sem fazer ideia do que pode ser feito com a conexão entre esse importante número identificador e a lista de medicamentos que se toma.

Por fim, a explicação de que "foi o hacker" se relaciona diretamente a um hábito difícil de mudar: a nossa propensão em botar a culpa nos outros. Dizer que foi o hacker o responsável pelo uso indevido de conta ou pelo vazamento parece, no senso comum, transferir única e exclusivamente para o hacker quaisquer efeitos decorrentes do incidente. Sofreu algum dano com o vazamento? Processa o hacker!

Este entendimento não passa da primeira página quando se conhece a dinâmica da LGPD sobre incidentes de segurança.

Ao declarar que "foi o hacker" que invadiu um sistema ou conta, nasce o dever de apurar a extensão do incidente de segurança, revelando quais dados foram afetados, qual a extensão do vazamento e como sistemas podem ter sido comprometidos.

Botar a culpa no hacker, em termos legais, não dá salvo-conduto a ninguém. Só aumenta a obrigação de esclarecer o que realmente aconteceu (até para que se possa entender como a segurança foi violada e quem responde por isso).

Precisamos romper esse ciclo vicioso de misticismo tecnológico, pouca cultura de proteção de dados e propensão em não assumir a culpa pelos nossos atos. Os casos recentes de incidentes de segurança (confirmados ou alegados) reforçam a percepção de que a violação de dados pessoais e a exploração de vulnerabilidades em sistemas foram banalizadas.

Da mesma forma, foi banalizada a resposta de que "a culpa é do hacker". É a nova "a culpa é do sistema" (ou seja, do outro). Nos acostumamos a achar que o time de futebol perdeu só por culpa do juiz. O acidente de trânsito é sempre culpa do outro motorista. Na firma, tudo que sai errado é culpa do estagiário. E para questões psicológicas profundas a culpa é sempre dos pais, os nossos primeiros hackers.