Roubos e vazamentos de dados normalmente eliciam uma imagem muito clara e simples na mente da maioria das pessoas: um (ou um pequeno grupo de) hackers, no geral jovens adeptos dos computadores e socialmente desajustados, atacando sistemas de empresas para disseminar o caos ou ganhar dinheiro fácil com informações roubadas. Essa imagem, perpetuada por dezenas de referências na cultura popular, não poderia estar mais longe da verdade.

O fato é de que boa parte dos ataques mais recentes à sistemas de informações tem se originado não com indivíduos independentes, mas sim dentro de empresas ou até mesmo de órgãos governamentais. E esses ataques muitas vezes não tem as características dos cyber-ataques tradicionais, aparecendo disfarçados de acessos autênticos ou utilizando-se de conhecimento proprietário de ex-funcionários para efetuar o roubo de informações relevantes.

 

“Iniciativa” privada

Esses ataques acontecem em todo o tipo de indústria, pelos mais diferentes motivos. No começo do ano, a multinacional de venda de ingressos Ticketmaster foi condenada a pagar uma indenização de US$ 10 milhões à uma concorrente, a CrowdSurge, por invasão de sistemas. Segundo relatos, um ex-funcionário da CrowdSurge, contratado pela Ticketmaster, compartilhou com uma equipe de sua nova empresa detalhes técnicos da operação do seu empregador anterior, que permitiram a construção de um programa de computador que identificava novos eventos quando ainda estavam sendo negociados com artistas e arenas, viabilizando uma concorrência desleal por parte da Ticketmaster. Essa concorrência desleal, por sua vez, levou a extinção da CrowdSurge.

As más práticas acontecem também no Brasil. A empresa de recrutamento profissional Catho foi acusada de furtar currículos da base de dados da sua concorrente, a Gelre. Ao analisar a ação, o juiz Mário Galbetti destacou que, sob qualquer ângulo que se examinasse a questão, não haveria como deixar de reconhecer a deslealdade da Catho, e impôs uma multa de R$ 13 milhões. Ainda cabe recurso da decisão.

Este não é o único processo do tipo que a Catho responde. Tramita, na mesma vara, processo da outra concorrente, Curriculum. Assim, como a Gelre, a empresa alega que a Catho usou o programa batizado como “rouba.phtml” para capturar currículos e endereços eletrônicos nos sites.

E muitas vezes um ataque a iniciativa privada pode ter um agente mais sofisticado por trás. Um bom exemplo é o ataque aos sistemas de diferentes órgãos do governo dos EUA, nos mais diferentes níveis. Esse ataque, que envolveu a exploração de vulnerabilidades e ataques a softwares e sistemas de diferentes empresas – Microsoft e SolarWinds, dentre outras – foi tão extenso e tão danoso que ainda não existe uma estimativa precisa de seu escopo total.

 

Departamentos oficiais de hacking

Cada vez mais, os ataques mais sofisticados tem sido orquestrados por grupos sob o comando de governos ao redor do mundo. Embora tenha sido uma vítima em 2020, o governo norte-americano já havia sido acusado em outras ocasiões de espionar empresas e cidadãos estrangeiros. O próprio Brasil, em 2013, penalizou a empresa americana Boeing em uma concorrência para fornecer aviões para a força área brasileira, em parte devido a espionagem eletrônica por parte da Agência de Segurança Nacional (NSA) dos EUA.

E os EUA estão longe de ser o único país que se engaja nesse tipo de atividade. China, Rússia, Coréia do Norte e uma dezena de outros países também configuram na lista de mais ativos na cyberespionagem e na utilização de ataques cibernéticos para extrair vantagens, para o próprio governo ou para empresas locais. Até mesmo durante a pandemia, diversos países, como Reino Unido, EUA e Canadá acusaram a Rússia de tentar roubar pesquisas sobre vacinas contra a Covid-19 de universidades e farmacêuticas. Um comunicado do Centro de Cyber Segurança do Reino Unido atribuiu os ataques ao grupo hacker APT29, conhecido como Cozy Bear, que “quase certamente opera como parte dos serviços de inteligência da Rússia”, disse a agência.

Frente a todas essas ameaças, como podemos proteger os nossos dados pessoais e as informações das nossas empresas? No âmbito pessoal, a resposta é simples, e você com certeza já deve ter ouvido ela: tenha boas práticas de segurança eletrônica. Utilize um gerenciador de senhas seguro, habilite a autenticação multi-fator em todos os serviços, e preste atenção nos serviços que você está se cadastrando e nos links que está clicando.

Para as empresas, a mesma lógica se aplica: adote as boas práticas de segurança eletrônica para os seus sistemas e seus dados. Utilize o máximo possível a criptografia dos dados, tenha controle e monitoramento de todo o ambiente de computação da sua empresa, e assim por diante. Mais do que isso, no entanto, é necessário que as empresas avaliem com cuidado seus fornecedores. Será que o fornecedor vai hospedar seus dados em um país aonde as garantias de segurança são fortes? Ou será que eles vão parar em um ambiente monitorado pelo governo? Pensar nos fornecedores de tecnologia de uma forma mais estratégica é uma boa forma de reduzir os riscos.

Finalmente, é importante entender que coletar informações que são disponibilizadas de forma pública por seus concorrentes não é desleal nem ilegal. Nenhuma empresa vai sofrer sanções por ter coletado os preços que estavam postados no site de um concorrente. No entanto, acessar dados que não sejam públicos, ou se valer de mecanismos não-documentados e não-divulgados para obter informações pode se configurar em um crime, e trazer mais problemas do que vantagens. Se as informações que você está usando qualquer pessoa poderia acessar, tudo bem. Do contrário, evite!

Existe uma linha fina, mas muito clara, entre a captura de informações públicas de forma automatizada para construção de uma vantagem competitiva, e o acesso indevido à sistemas de informação de terceiros.

 

O perigo não vem só dos hackers

Os riscos a que estão submetidos dados corporativos e dos indivíduos já vão bem além do roubo de informações pelos temidos hackers, para venda de mailing. Uma nova onda de ataques começa a surgir, por parte de concorrentes e até mesmo pelos governos. No início deste ano, a multinacional de venda de ingressos para espetáculos Ticketmaster pagou uma indenização de US$ 10 milhões à extinta CrowdSurge, por invasão em seus sistemas.

De acordo com a revista Wired, o crime teve participação de um ex-funcionário da CrowdSurge, que foi contratado pela Ticketmaster. O executivo Zeeshan Zaidi e outros dirigentes da Ticketmaster encorajaram Mead a compartilhar dados e informaçõçes de seu tempo na companhia rival. Um porta-voz da Ticketmaster disse ao portal The Verge que a empresa demitiu Zaidi e Mead em 2017, após saber de sua conduta. Além da multa, a Ticketmaster se comprometeu com a Justiça a denvolver políticas para evitar incidentes semelhantes no futuro e, nos próximos três anos, terá de apresentar relatórios sobre seus processos internos.

 

Golpe do governo

O governo norte-americano, acusado no passado de bisbilhotar dados de empresas de defesa da Dinamarca e da Suécia, tornou-se vítima de suposta espionagem. A Agência de Segurança Nacional dos Estados Unidos (NSA) teria espionado empresas daqueles dois países, com ajuda do serviço de inteligência dinamarquês. A emissora pública dinamarquesa Danmarks Radio noticiou que a NSA estava interessada na sueca Saab, que produz os caças Gripen. Os americanos teriam acesso a cabos de fibra óptica e a um centro de dados na ilha dinamarquesa de Amager para espionar o tráfego de dados no Norte da Europa.

Já em dezembro de 2020, os Estados Unidos estiveram no papel de vítimas. Um sofisticado grupo de hackers, apoiado por um governo estrangeiro, furtou informações do Departamento do Tesouro dos Estados Unidos e de uma agência responsável por decidir a política em torno da internet e de telecomunicações, segundo revelou a agência Reuters.

Diante de tantas violações comprovadas, um alerta: é fundamental entender a complexidade do mundo dos cyberataques para podermos proteger nossos dados e os dados de nossos clientes.

BigDataCorp