Os vazamentos de dados ocorrem quando um terceiro não autorizado obtém acesso às informações privadas de uma organização. Normalmente, esse tipo de incidente envolve o roubo de dados pessoais de clientes e/ou funcionários. Existem regulamentações rigorosas, como a LGPD no Brasil ou a GDPR na Europa, que foram projetados para forçar as organizações a melhorar a segurança e o tratamento desses dados. Além de impor possíveis multas, essas leis também exigem que as organizações reportem qualquer descumprimento das regulamentações correspondentes ao país logo após o descobrimento de um incidente.
Essas leis conseguiram melhorar a transparência com os clientes e o público sobre incidentes envolvendo vazamentos de dados. Entretanto, apesar dos esforços dos reguladores, os registros revelam que o número de vazamentos continua aumentando. Nos EUA, só nos três primeiros trimestres de 2021, o número de vazamentos de dados ultrapassou o total do ano de 2020. No Reino Unido, quase dois terços das médias e grandes empresas admitiram ter sofrido um vazamento de dados no ano passado. Em toda a União Europeia, mais de 280 mil incidentes de segurança envolvendo vazamentos de dados pessoais foram registrados entre maio de 2018 e janeiro de 2021.
No entanto, receber uma notificação de que seus dados podem ter sido expostos em um vazamento de dados não significa que tudo está perdido. As suas decisões nas horas e dias seguintes à notificação pode ter um grande impacto em relação às consequências de um vazamento de dados.
Separamos alguns aspectos fundamentais que você deve ter em conta após receber uma notificação de vazamento de dados:
Mantenha a calma e leia atentamente a notificação
Uma reação impulsiva pode acabar piorando desnecessariamente a situação. Portanto, não cancele suas contas on-line e nem mesmo todos os seus cartões. Ao invés disso, respire fundo e tente entender o que aconteceu. Leia os detalhes do incidente até que eles façam sentido e entenda o que foi roubado e o que está envolvido. Também vale a pena salvar o e-mail de notificação, caso seja necessário provar em algum momento que o vazamento não foi sua responsabilidade.
Verifique se a notificação é realmente legítima
Uma campanha de phishing pode tentar chamar a atenção dos usuários alegando que seus dados foram envolvidos em um vazamento de dados a fim de convencê-los a clicar em um link malicioso ou divulgar mais informações pessoais. Estes e-mails e mensagens falsas são cada vez mais difíceis de diferenciar dos legítimos. Portanto, a primeira coisa a fazer quando se está diante de tal mensagem é entrar em contato com a organização ou serviço que sofreu o incidente, seja através de seu site oficial ou contas de redes sociais. Os atendentes poderão explicar se você foi afetado e o que deve acontecer em seguida. Caso seja realmente um golpe, denuncie e apague a mensagem.
Fique atento aos golpes
Os mercados clandestinos do cibercrime na dark web são uma espécie de engrenagem que funciona muito bem. É provável que os cibercriminosos responsáveis pelo vazamento tentem vender seus dados pessoais em fóruns dentro da dark web. Os golpistas compram este tipo de informação e, em seguida, direcionam golpes aos usuários que foram vítimas dos vazamentos de dados através de e-mails e mensagens de phishing bem projetadas que buscam, por exemplo, obter dados de login, detalhes de cartões e outras informações que possam gerar algum ganho financeiro.
Por esse motivo, é fundamental estar atento a qualquer e-mail ou mensagem de aparência legítima que possa chegar até você após um vazamento de dados. Os cibercriminosos podem até criar mensagens para se fazerem passar pela empresa que sofreu o incidente de segurança ou outras fontes. Os sinais indicadores de e-mails de phishing são: erros gramaticais e ortográficos, endereços de e-mail de um remetente diferente da empresa e a criação de um senso de urgência. Tudo com o objetivo de enganar o usuário para que ele possa agir de forma imediata e sem pensar antes.
Altere a(s) senha(s)
Mesmo que seus logins não tenham sido comprometidos no vazamento de dados, atualizar suas senhas pode ser uma boa ideia para ganhar paz de espírito. Além disso, também altere as senhas de quaisquer outras contas na quais você use a mesma senha para realizar login. Isto porque os criminosos têm acesso a softwares (para obter mais informações leia sobre ataques de força bruta e password spraying) que permitem testar automaticamente um grande número de dados de login roubados em vários sites em toda a web até que consigam comprometer novas contas on-line.
Também indicamos a ativação da autenticação em dois fatores em todas as suas contas on-line e o uso de um gerenciador de senhas para armazenar e lembrar suas senhas únicas e seguras para cada site ou serviço.
Confira suas contas bancárias e outras contas on-line
Se a notificação comunica que seus dados de login foram roubados, e você usa as mesmas informações em outras contas, altere todos as credenciais de forma imediata. Também vale a pena verificar as contas bancárias e tentar encontrar qualquer atividade suspeita. Às vezes, se os golpistas tiverem acesso a informações pessoais suficientes, eles podem enganar os atendentes que trabalham em bancos, empresas de telefonia e outras organizações para redefinir detalhes de suas contas ou até mesmo criar novas senhas.
Bloqueie seus cartões
Se você tiver sido notificado sobre um vazamento grave envolvendo suas informações financeiras, é fundamental informar o incidente ao seu banco imediatamente, cancelar ou bloquear seus cartões e alterar qualquer senha. Se informações como números de CPF ou RG forem roubados em um vazamento, os golpistas podem utilizá-los para tentar fazer empréstimos em seu nome, realizar uma grande dívida e depois desaparecer. Isto pode afetar sua classificação de crédito por meses e levar muitas horas ou dias para ser resolvido. Uma boa maneira de evitar este risco é pedir às empresas de classificação de crédito que congelem a segurança de seus arquivos de crédito. Isso significa que nenhuma instituição bancária poderá ver seus relatórios e, portanto, não poderá abrir nenhuma nova conta em seu nome.
Entenda quais dados foram expostos
Se as informações expostas pela organização que sofreu o vazamento forem muito vagas, você pode procurar mais informações por conta própria. Sites como o Have I Been Pwned oferecem este tipo de serviço de forma gratuita. Leia este post e saiba como verificar se sua senha foi exposta em uma vazamento de dados reportado.
Busque compensações
Os casos de vazamento estão se tornando tão comuns hoje em dia e existe o risco de naturalizá-los. Ao estar atento e entender qual o seu tipo de exposição ao risco, você provavelmente será capaz de administrar o impacto de um incidente e mitigar alguns impactos.
Caso ocorra um vazamento de dados (comprovado) envolvendo seus dados pessoais, busque informações junto à organização responsável e, caso a sua solicitação não seja atendida, ou não saiba qual organização está envolvida, faça uma denúncia no site da Autoridade Nacional de Proteção de Dados e siga as instruções determinadas pelo órgão.