Topo

Vazamento de dados cresce e já é 2º maior ataque digital ao governo federal

Falta de segurança cibernética pode colocar toda uma organização em risco - Getty Images/iStockphoto
Falta de segurança cibernética pode colocar toda uma organização em risco Imagem: Getty Images/iStockphoto

Helton Simões Gomes

Do UOL, em São Paulo

16/06/2019 14h41Atualizada em 19/06/2019 16h20

Desde que o site Intercept começou a publicar as mensagens trocadas pelo ministro da Justiça Sergio Moro, quando ainda era juiz, com os procuradores da força-tarefa da Lava Jato, a segurança cibernética virou motivo de preocupação -- surgiu todo tipo de hipótese de como os envolvidos poderiam ter se protegido.

Ainda que atuando como funcionários públicos, os envolvidos provavelmente tiveram seus celulares pessoais invadidos por algum hacker, que obtiveram as conversas mantidas pelo Telegram. Entretanto, os vazamentos de informação viraram também um problema crescente para a administração pública federal. Esse tipo de incidente cresceu pouco mais de 19 vezes em seis anos e virou o segundo maior tipo de ataque sofrido pelos sistemas do governo federal.

Relatório divulgado recentemente pelo Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), subordinado ao Gabinete de Segurança Institucional (GSI), mostra que 20.566 eventos que comprometiam a segurança digital de órgãos federais foram reportados em 2018. Destes, 9.981 foram confirmados.

Os golpes mais comuns foram:

  • Abuso de site - 26,23%: ocorre quando um site federal é desfigurado por algum hacker ou tem seus códigos expostos;
  • Vazamento de dados - 20,04%: ocorre quando alguma informação fica acessível ao público, seja por ter sido mal protegida ou algum hacker ter tido acesso a ela após explorar alguma falha de segurança;
  • Fraude - 15,95%: ocorre quando algum serviço malicioso tenta se passar por um original para enganar algum funcionário federal - é o famoso phishing;
  • Indisponibilidade de site - 14,12%;
  • Scan - 7,91%: ocorre quando alguém acessa sem autorização sistemas federais para verificar se há alguma vulnerabilidade que pode ser explorada depois;
  • Vulnerabilidade DDoS - 7,46%: são os ataques de negação, em que um sistema é bombardeado com diversas requisições de acesso; o intuito é fazer com que o servidor não dê conta e saia do ar;
  • Malware - 4,19%: é a inserção de algum código malicioso dentro dos sistemas federais - são os famosos vírus de computador;
  • Outros - 7,91%.

Os ataques relacionados a sites federais são campeões históricos dos incidentes cibernéticos. Só que os vazamentos de dados não eram tão comuns em 2013, data das mais antigas estatísticas detalhadas disponibilizadas pelo GSI em seu site.

Se, em 2018, foram registrados cerca de 2.000 incidentes em que informações de órgãos federais acabaram vindo a público, em 2013, foram apenas 105 eventos desse tipo.

O CTIR Gov não dá detalhes de como os incidentes ocorreram, quais órgãos afetaram nem se dados pessoais de cidadãos brasileiros foram vazados. Apenas informa a quantidade total de eventos. O UOL Tecnologia contatou o GSI, que atribuiu a quatro razões o aumento das detecções de vazamentos de dados:

  1. Aprimoramento na identificação desse tipo de ataque: "O centro tem aprimorado seus mecanismos de detecção, o que tem elevado o número de constatações desse tipo de incidente".
  2. Aumento das notificações: "O CTIR Gov, devido ao modelo que utiliza, de firmar parcerias com base em medidas de construção de confiança, tem recebido, com maior frequência, notificações de órgãos parceiros sobre este tipo de incidente."
  3. Perspectiva de lucro por parte dos invasores: "Os atacantes vislumbram a perspectiva de auferirem recursos pela obtenção de dados de certa organização. Ao não ser atendido, expõe os dados como retaliação."
  4. Tentativa de atingir a imagem da instituição: "Os atacantes podem, a partir da obtenção dos dados, expô-los à sociedade, com o objetivo de atingir, denegrir ou manchar a reputação de pessoas ou de instituições, pelo potencial de dano dessa exposição."

Ainda assim, é possível ter ideia de como nascem esses vazamentos e da dimensão do estrago que a extração de dados sem autorização de bases do governo federal pode ter.

Em abril deste ano, um hacker vazou as informações pessoais de 2,4 milhões de usuários do Sistema Único de Saúde (SUS). Estavam no pacote nome completo das pessoas, nome da mãe, endereços, número de CPF e datas de nascimento.

Em contato com o UOL Tecnologia, o hacker responsável afirmou que só tomou essa atitude porque avisara o Ministério da Saúde sobre uma falha de segurança em seus sistemas e não foi ouvido.

Especialistas ouvidos pelo UOL Tecnologia explicam que os usuários não poderiam ter feito nada para se prevenir, já que o problema foi no servidor de dados do SUS. O máximo que podem fazer é alterar senhas e monitorar contas.

Segundo Martin Hron, pesquisador de segurança sênior da Avast, o fornecedor do sistema do SUS deveria ter feito mais atualizações de segurança, incluindo a criptografia da comunicação e algumas bastante básicas, como a mudança de HTTP para HTTPS.

Para Cecília Pastorino, pesquisadora de segurança da ESET, faltou uma auditoria de segurança, que poderia ter evitado a brecha. Nelas, especialistas vasculham o sistema por vulnerabilidades, tentam explorá-las e medem o impacto de cada uma delas.

Hron explica que esses dados podem ser usados "para tentar hackear outras contas, para chantagem ou roubo de identidade".

Segurança