Marriott International, Equifax, Aadhaar... Esses são apenas alguns exemplos de vazamentos de dados mais graves dos últimos 10 anos. Embora possam parecer geograficamente distantes - em um deles, as informações de quase 50% dos cidadãos dos Estados Unidos foram expostas e, no outro, os dados de 90% da população da Índia foram vazados - esses tipos de incidentes são muito comuns na América Latina e nos afetam de uma forma tão impensável quanto perigosa.
A seguir, analisaremos, através de exemplos reais, como um vazamento de dados que aparentemente é observado como inofensivo pode se conectar às nossas vidas digitais e diárias e colocá-las em risco.
Um lugar reservado para golpes
Viajar pode nem sempre ser um prazer: um usuário que reservou uma acomodação pelo Booking para passar alguns dias relaxando em Barcelona compartilhou em seu blog uma experiência que quase terminou em um golpe devido a um vazamento de dados. O que aconteceu?
Em janeiro de 2023, ele reservou um apartamento e pagou antecipadamente. Alguns dias antes de sua chegada, o usuário recebeu uma mensagem no WhatsApp de uma pessoa que se dizia gerente da acomodação, informando-o de um problema com o pagamento. Supostamente, o banco o havia rejeitado devido a uma verificação antifraude. A mensagem também incluía a solução: um link que o usuário realizasse o pagamento novamente.
Depois de verificar os movimentos de seu cartão e constatar que o pagamento havia sido processado corretamente, ele informou a suposta administradora e pediu que continuassem a conversa por meio da plataforma onde ele havia feito a reserva, o Booking. No entanto, o usuário não obteve resposta.
Ela então entrou em contato com a acomodação real, por meio da plataforma, e eles confirmaram que a reserva estava em ordem e o pagamento havia sido processado; e que a mensagem que ele havia recebido via WhastApp era provavelmente o resultado de um grande vazamento de dados que a Booking havia sofrido. Os golpistas tinham o número de telefone da vítima, o nome completo, as informações da propriedade, as datas da estadia e o valor exato da reserva total.
O registro de conteúdo comprometedor
O RENAPER (Registro Nacional de las Personas), órgão responsável pela identificação e registro de cidadãos residentes na Argentina, sofreu um grande vazamento de dados em 2021. Entre as informações vazadas estavam datas de nascimento, identificações com foto, números de procedimentos e números de identidade de milhares de pessoas.
As consequências desse evento começaram a surgir alguns anos depois, quando começou a circular uma campanha de extorsão que incluía não apenas as informações pessoais dos destinatários - como números de identidade - mas também uma ameaça de vazamento de conteúdo supostamente comprometedor se o pagamento não fosse feito.
O e-mail tentava fazer com que a vítima acreditasse que o computador estava infectado com spyware, de modo que o cibercriminosos tinha um vídeo comprometedor que ele divulgaria a menos que recebesse a "modesta" quantia de US$ 650 em Bitcoin.
A verdade é que não existe essa infecção por malware, nem os cibercriminosos têm acesso ao computador, muito menos a um vídeo comprometedor ou a detalhes da atividade no computador.
Provavelmente por causa de um senso de urgência e preocupação, houve vítimas que pagaram, pois foram registradas transações de US$ 1.709 em Bitcoin.
Um pagamento muito alto por um vazamento
Os cidadãos chilenos, em junho de 2019, acordaram com a notícia de que os dados de mais de 40 mil cartões haviam sido vazados. A Comissão de Mercado Financeiro (CMF) informou, na época, que a Redbanc - a empresa que administra a rede de caixas eletrônicos do país - havia sofrido um vazamento de dados de exatamente 41.593 cartões de crédito e débito, de emissores bancários e não bancários.
Como resultado, e antes que a RedBanc pudesse implementar contramedidas, pelo menos 82 casos de transações falsas foram registrados usando os dados vazados.
O que um cibercriminoso pode fazer com nossos dados pessoais e financeiros?
Esses são apenas alguns dos casos que afetaram a América Latina nos últimos anos e mostram o quão abrangente pode ser o impacto de um vazamento de dados.
Em suma, essas são as ações que cibercriminosos podem realizar para obter lucro quando têm nosso endereço de e-mail e nossos dados pessoais ou financeiros:
Campanha de phishing
Cibercriminosos podem fazer uma campanha de suplantação de identidade, mais conhecida como phishing, em que a vítima é induzida a clicar em um link falso, com o objetivo de roubar credenciais de login ou dados financeiros, ou fazer download de malware.
Campanhas de extorsão
Nesse tipo de campanha, os cibercriminosos usam nossas informações para utilizar a engenharia social para enviar e-mails apresentando dados pessoais ou privados e, em seguida, solicitando uma quantia em dinheiro para impedir a divulgação das informações.
Fraude financeira
A obtenção de senhas e dados financeiros por cibercriminosos pode levar a atividades ilegais. No caso de dados financeiros, eles são usados para fazer compras em nome do proprietário ou para negociá-los na dark web. No caso das senhas, elas são usadas para acessar o serviço ou aplicativo para fins maliciosos, bem como para tentar fazer login em outros serviços, testando se o usuário reutilizou a mesma combinação ou com poucas variações em outra conta.
Dicas para casos de vazamento de dados
Como destacamos, é importante que você nunca ignore um vazamento de dados. Caso seus dados tenham sido expostos, tenta saber o que pode ser feito para minimizar o impacto:
- Preste mais atenção a e-mails inesperados de remetentes supostamente conhecidos, especialmente se eles tiverem um assunto urgente;
- Altere suas senhas e o acesso às contas;
- Entre em contato com suas instituições financeiras para congelar preventivamente suas contas e cartões associados;
- Analise as transações para reportar as atividades ou ações bancárias desconhecidas.