O site informativo de telecomunicações Celular Direto, gerenciado pela empresa carioca Wooza, deixou uma rede de fornecimento de conteúdo (CDN) exposta com dados pessoais de 120 mil pessoas interessadas em contar com planos e serviços da operadora TIM. Além dos dados expostos, informações e imagens de banners e newsletters de outras operadoras e empresas também estavam completamente acessíveis por terceiros.

Vazamento: nome completo, endereço de email, telefone celular, telefone residencial, CEP, cidade, bairro, nome da rua e número da residência

O TecMundo recebeu os documentos de uma fonte chamada "Mr. Luluz1nh4" via email denúncia — saiba mais ao final do texto. São 390 MB que contabilizam 3.308 arquivos em 643 pastas separadas. As empresas afetadas pela exposição de informações de banners e newsletters são: CarRentalz, Claro, Genial Seguros, Magazine Luiza, NET, Netflix, Nextel, Oi, Porto Seguro, Proteste, Vivo, Walmart e WeSeek. Apenas na pasta da TIM continham informações de cidadãos expostas.

Os dados pessoais vazados na Content Delivery Network (CDN) da Celular Direto envolvem mais de 270 mil registros. Após limpeza de duplicados, foi possível encontrar 233.202 registros únicos de cidadãos com: nome completo, endereço de email, telefone celular, telefone residencial, CEP, cidade, bairro, nome da rua e número da residência. Segundo a empresa responsável, na verdade, esse número seria de 118 mil registros únicos.

O TecMundo entrou em contato com a Wooza, responsável pela Celular Direto, na terça-feira (21). Na sexta-feira (24), a Wooza entregou posicionamento alegando que os dados são de agosto de 2017 e os conteúdos ali expostos não configuram “dados sigilosos ou sensíveis que possam expor de forma discriminatória, vexatória ou financeira os mesmos”. Por isso, não entraria em contato com os cidadãos para um comunicado.

Spear phishing, engenharia social e SIM Swap: alguns dos golpes que podem ser realizados com as informações expostas

Nome completo, telefone celular ou residencial, endereço completo e email pessoal não são dados sigilosos ou sensíveis para a Wooza. Para a Wooza. Para cibercriminosos, a história é diferente — e também para o governo brasileiro, que aprovou a Lei Geral de Proteção de Dados.

Quando perguntada se realmente não enxergava essas informações abertas como algo malicioso para os cidadãos expostos, a empresa se limitou a responder: “Na verdade, são menos de 118 mil dados únicos que não necessariamente correspondem com os dados da pessoa que acessou o site para pesquisa da disponibilidade do serviço”.

Isso significa que o panorama poderia ser até pior: a lista pode conter dados de pessoas que não colocaram suas informações em sites de alerta por conta própria, proativamente, o que dificulta uma resolução para avisar os usuários que seus dados foram expostos.

Informações expostas pela Celular Direto

O que dizem as leis

O Marco Civil, assinado pela então presidente Dilma Rousseff em 2014, fala sobre dados pessoais como estes expostos. Em seu décimo artigo, o texto é claro: “A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas”.

Sob o mesmo artigo, ainda é citado: “Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros”.

Em qualquer operação de coleta e armazenamento, deverão ser obrigatoriamente respeitados a legislação brasileira, direitos à privacidade, à proteção dos dados pessoais e ao sigilo dos registros

Ainda temos a questão da LGPD, assinada pelo ex-presidente Michel Temer em seu último mês de mandato. A Lei Geral de Proteção de Dados entra em vigor em 2020, porém, empresas e sociedade precisam se preparar para o que está por vir. É interessante — e indicado pela própria comunidade de segurança — que medidas já sejam tomadas para quando o próximo ano chegar, companhias não fiquem em desacordo.

Dados pessoais, segundo a LGPD, envolvem qualquer informação relacionada a pessoa natural identificada ou identificável. No Artigo 46, a nova lei ainda deixa claro: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Por último ainda é possível encontrar inciso que estende a gravidade de exposição de dados pessoais, que podem acabar revelando dados sensíveis: “Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica”.

Caso esta exposição tivesse ocorrido em 2020, após a entrada a Lei Geral de Proteção de Dados, a Wooza poderia ser acionada pela Autoridade Nacional de Proteção de Dados para maiores explicações. Em último caso, após julgamento, a LGPD envolve medidas que vão desde comunicados para clientes afetados até multas.

Mais abaixo, você acompanha o posicionamento da Wooza na íntegra — a TIM também se pronunciou sobre o caso.

CDN Celular Direto

O que pode acontecer com os cidadãos expostos

São inúmeros os golpes que podem ser aplicados com os dados pessoais expostos. O Brasil é o país mais atacado no mundo por phishing, segundo dados da empresa de segurança Kaspersky Lab, por exemplo.

O phishing ilude vítimas ao fazê-las acreditar em uma mensagem falsa. “Metade do trabalho” de um cibercriminoso é enganar o usuário de computador ou smartphone: como uma "pescaria", o cibercriminoso envia um texto em massa indicando que os leitores ganharam algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para resolver a situação. Isso pode acarretar em novos roubos de dados ou até instalação de malwares.

Com todas essas informações e dados pessoais já em mãos, o cibercriminoso consegue criar alvos e desenvolver campanhas maliciosas personalizadas

Mas esse é o phishing comum, mais utilizado para conseguir exatamente os dados que a CDN da Celular Direto entregou de bandeja. O spear phishing é mais perigoso: com todas essas informações e dados pessoais já em mãos, o cibercriminoso consegue criar alvos e desenvolver campanhas maliciosas personalizadas. Dessa maneira, é mais fácil infectar alguém ou roubar dados ainda mais sensíveis, como informações bancárias.

Vale notar que, em resposta ao TecMundo, a Wooza comentou que “levando consideração que não geramos nenhum tipo de violação ao direito de privacidade, não se faz necessário comunicar as pessoas. Sendo assim, reduzimos as chances de ações de phishing por terceiros”. Novamente, os dados já foram abertos e a questão é se eles vão ser abusados por phishers ou não.

CDN

Buraco ainda mais fundo

A engenharia social é outro problema acarretado pelos dados expostos. De acordo com Renato Marinho, pesquisador chefe da empresa de segurança Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços online da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".

Por último, cibercriminosos podem realizar o SIM Swap, um golpe que está virando moda no Brasil e tentar o roubo de contas de redes sociais, WhatsApp e contas bancárias.

Criminosos conseguem se passar pelas vítimas com informações vazadas em bancos de dados

O SIM Swap acontece porque o processo de obtenção de um novo chip para o mesmo número — quando a pessoa perde o celular ou é roubada — é bastante falho. Criminosos conseguem se passar pelas vítimas com informações vazadas em bancos de dados, como o da Wooza. O interesse dos cibercriminosos nas fraudes de SIM swap é tão grande que alguns até vendem este serviço, afirma a empresa de segurança Kaspersky em relatório divulgado.

“O interesse dos cibercriminosos nas fraudes de SIM swap é tão grande que alguns até vendem este serviço para outros criminosos. Os fraudadores atiram em todas as direções; os ataques podem ser direcionados ou não, mas qualquer pessoa pode ser vítima”, explicou Fabio Assolini, analista sênior de segurança da Kaspersky Lab e corresponsável pelo relatório.

Cidadãos que se registraram no site da TIM ou Celular Direto buscando informações sobre chegadas de planos ou coberturas em 2017, podem entrar em contato com a empresa responsável (Wooza) buscando mais informações se estão presentes no vazamento ou não.

Pastas CDN

Posicionamento da Wooza e TIM sobre o caso

“A Celular Direto/Wooza esclarece que:

Os banners e scripts são aqueles que podem ser acessados e visualizados por qualquer pessoa no site do parceiro e visam melhorar a experiência de navegação dos usuários em nossas plataformas web, não gerando qualquer tipo de violação ao direito de privacidade.

Os dados reunidos em agosto de 2017 eram de pessoas que tinham intenção de serem avisadas sobre disponibilidade de serviços de internet banda larga em regiões onde a cobertura não estava disponível. Em tais arquivos constavam dados para contato, não configurando dados sigilosos e/ou sensíveis, que possam expor de forma discriminatória, vexatória ou financeira os mesmos”.

A Wooza deixa claro que o processo de transmissão de dados foi alterado para garantir o padrão de segurança acordado com os parceiros. Hoje, os dados não estão mais expostos”.

A TIM seguiu a mesma linha da Wooza em seu posicionamento:

“A TIM esclarece que notificou o parceiro Wooza sobre a descoberta deste repositório público. Vale ressaltar que, as informações desta plataforma eram contatos de possíveis interessados em adquirir serviços de internet fixa, no ano de 2017. Além disso, estes dados não tinham caráter sensível, sem possibilidade de comprometimento financeiro, vexatório ou discriminatório dos envolvidos”.

Newsletters Vivo

Como fazer denúncias ao TecMundo