Nós trocamos informações com praticamente todas as empresas com quem nos relacionamos. Do cadastro inicial ao comportamento que temos quando utilizamos os produtos e serviços, e até ao conteúdo que postamos, estamos confiando que, ao entregar esses dados para as empresas, elas vão cuidar deles e proteger os mesmos contra acessos indevidos. Essa é a teoria, e é o que legislações de privacidade, como a LGPD, exigem.

Como diz o ditado, no entanto, a teoria está muito longe da prática. Como exemplificamos antes, vazamentos de dados são, infelizmente, uma ocorrência corriqueira no universo digital. E, embora muitos dos vazamentos estejam de fato associados à ataques contra as empresas que são donas dos dados, a triste verdade é que muitos outros acontecem por incompetência ou complacência das empresas as quais confiamos nossas informações.

O caso mais recente deste último tipo de vazamento é o da polêmica rede social Parler, retirada do ar pelos grandes players de tecnologia. Antes da suspensão, um hacker ativista independente conseguiu coletar 99,9% de todo o conteúdo que havia sido publicado na plataforma, independente do mesmo ter sido “apagado” pelos usuários. Isso inclui vídeos, imagens, texto, e todo tipo de conteúdo, boa parte dele que pode vir a ser utilizado em processos criminais contra alguns usuários.

 

Incompetência generalizada

O mais incrível do caso da Parler não é o fato do conteúdo em si ter sido capturado, mas sim a forma como essa captura aconteceu. O “ataque” não consiste em nada mais sofisticado que a construção de URLs e a navegação para as URLs criadas. Em um site bem estruturado (a documentação pública da API do BigBoost, por exemplo), cada seção tem um link único que a identifica, que é o endereço principal do site seguido de algum identificador único, que deve ser algo difícil de adivinhar.

No Parler, cada post era identificado por um número, que ia crescendo sequencialmente conforme os usuários iam postando. O primeiro post na rede era algo como “https://parler.com/1”; o segundo era “https://parler.com/2”; e assim por diante. Independente do usuário ter apagado seu post da rede, a URL original, com o número sequencial, continuava existindo e apontando para o conteúdo. Qualquer pessoa com um mínimo de conhecimento técnico poderia montar uma lista com endereços possíveis, e visitar cada um deles para coletar o conteúdo, como acabou sendo feito.

E não é só na iniciativa privada que vemos essas falhas grosseiras. Uma falha recente de segurança no Ministério da Saúde expôs dados sensíveis de mais de 15 milhões de pessoas. Novamente, a falha não foi nada sofisticada: algum desenvolvedor deixou exposto no código HTML do site (que pode ser visualizado por qualquer navegador) credenciais de acesso ao sistema do ministério, possibilitando o acesso indevido e o roubo das informações.

 

Tenha relacionamentos conscientes

O principal impacto de todos esses vazamentos é trazer a tona para as pessoas comuns o tema da cyber segurança, e da importância de cuidar dos seus dados pessoais. Já falamos outras vezes, mas sempre vale a pena reforçar: utilize boas práticas de segurança no seu dia-a-dia. Use um gerenciador de senhas, e não use a mesma senha para todos os serviços. Habilite a autenticação por múltiplos fatores. Se possível, cadastre e-mails únicos para cada aplicação ou site.

Mais do que isso, procure avaliar de maneira crítica os seus relacionamentos com as diferentes empresas no universo digital, e os riscos que você está correndo com cada uma delas. A simplificação dos formulários de cadastro faz com que muitas vezes as pessoas se inscrevam para serviços ou aplicativos que nunca vão de fato usar, sem prestar atenção no fato de que seus dados vão acabar sendo revendidos ou utilizados de maneira indevida por terceiros.

Procure sempre conhecer bem a empresa com quem você está se relacionando, principalmente no meio digital. Essa é a melhor forma de se desenvolver um relacionamento duradouro.

BigDataCorp