Vazamento de dados: como ocorre e como evitar?

Escrito por Equipe TOTVS
Última atualização em 15 maio, 2023

Quantos casos de vazamento de dados no Brasil você viu recentemente? Tivemos violações de cadastros de chaves Pix, dados do Ministério da Saúde e da Enel, dentre outros.

Empresas, pessoas físicas e órgãos públicos são vítimas de cibercriminosos constantemente, e as consequências podem ser bastante perigosas para todas elas. 

Para as organizações, em especial, as violações de privacidade de dados podem ocasionar punições de órgãos fiscalizadores, perda de reputação e outros prejuízos. 

Por isso, é fundamental saber como evitar o vazamento de dados e compreender como ele ocorre, como as informações são utilizadas, dentre outras questões. 

Neste artigo, abordamos os principais pontos sobre o tema e trazemos algumas orientações relevantes para as empresas.

Confira!

Nova call to action

O que é vazamento de dados?

O vazamento de dados (data leak) é a transferência intencional ou não intencional de dados de seu repositório original para um destinatário não autorizado, o que os torna vulneráveis ao roubo ou uso indevido. 

Em outras palavras, as informações confidenciais de uma pessoa física ou jurídica são indevidamente repassadas a terceiros ou acessadas, coletadas e divulgadas na internet.

De acordo com o monitoramento da Surfshark, o Brasil é o quinto país mais afetado por violações no terceiro trimestre de 2022. São 833.433 incidentes registrados.

Por isso, além de saber o que é vazamento de dados, é importante entender como ele ocorre e o que fazer para evitá-lo!

Como ocorre o vazamento de dados?

O vazamento de informações pode ocorrer de algumas formas. Veja:

  • Por meio do uso de códigos maliciosos que exploram vulnerabilidades dos sistemas empresariais;
  • Por meio de canais eletrônicos, como e-mail, aplicativos de mensagens e smartphones. Ex.: acesso às contas dos usuários por meio de phishing;
  • A partir de meios físicos, por meio dos quais a pessoa retira dados de locais seguros. Ex.: ex-funcionário que furta uma informação confidencial do sistema e a repassa para terceiros; 
  • Por meio de dispositivos de armazenamento de dados, como discos rígidos externos, unidades USB, CDs e DVDs. Ex.: um funcionário que descarta um pendrive com informações relevantes sem o devido cuidado.

Percebe como ações simples no ambiente de trabalho podem favorecer o vazamento de dados na internet? 

E, para entender a importância de adotar boas práticas, é essencial conhecer os perigos deste tipo de violação.

Qual o perigo do vazamento de dados?

Os casos de vazamento de dados no Brasil e no mundo demonstram os perigos que empresas e indivíduos correm com esses incidentes. 

Os cibercriminosos conseguem, por exemplo, abrir contas bancárias em nome da pessoa, criar cartões de crédito e empréstimos, realizar movimentações financeiras indevidas e até transferir bens.

No caso das empresas, os perigos envolvem diversos aspectos, como:

  • Impacto jurídico: o vazamento pode envolver questões legais prejudiciais, tais como violações da GDPR ou da LGPD, bem como de outras normas.
  • Efeito cascata: com o sequestro dos dados corporativos, eles podem ser utilizados para novos ataques em outras redes ou empresas, o que gera outras consequências para a privacidade da informação e a reputação da organização. 
  • Impacto econômico: pode decorrer da extorsão, em que o criminoso faz chantagem para não publicar informações sensíveis, da perda de valor no mercado, devido aos prejuízos à sua reputação, e da punição por órgãos governamentais.

A compreensão sobre como ocorre o data leak e quais os prejuízos que este incidente causa para empresas ajuda o gestor a priorizar ações de segurança da informação.

Para isso, é importante também saber quais são os dados mais buscados pelos cibercriminosos.

Quais informações costumam ser alvo dos criminosos?

A informação mais relevante para os cibercriminosos são as chamadas informações de identificação pessoal (PII), que podem resultar em roubo de identidade. 

Não necessariamente estes dados são confidenciais. Quer alguns exemplos? Veja a seguir as informações mais roubadas de pessoas físicas:

  • Dados de atividade: hábitos de navegação, histórico de pagamento, pedidos e detalhes de uso;
  • Informações de identidade: nome, endereço, e-mail, número de telefone, nome de usuário e senha;
  • Dados do cartão de crédito: número do cartão, data de validade, código CVV e códigos postais de cobrança.

Quando o incidente envolve pessoas jurídicas, temos informações que, se expostas, podem prejudicar os projetos e a competitividade da organização. São elas:

  • Planos, designs e fórmulas: informações sobre serviços e produtos atuais ou futuros;
  • Estratégia:  informações críticas de negócios, como detalhes de mensagens e roteiros;
  • Métricas: projeções, estatísticas de desempenho e outros dados coletados sobre a atividade;
  • Comunicações internas empresariais:  e-mails, memorandos e documentos que detalham as operações corporativas;
  • Software e código: propriedade industrial ou tecnologia proprietária que a organização vende ou constrói para uso interno.

Como os dados roubados podem ser explorados?

Como apontado ao falar dos perigos do incidente, os dados roubados podem ser explorados para extorsão. 

Neste mesmo sentido, os cibercriminosos podem lucrar ao vender essas informações em mercados paralelos (“dark web”) focados em roubo de dados.

Além de utilizá-los para obter vantagem financeira, os dados podem ser explorados para:

  • Acessar contas específicas e roubar informações do usuário;
  • Obter ganho político ou chantagem, na chamada “ciberguerra” ou guerra digital;
  • Efetuar novas tentativas de violação a partir do roubo de identidade ou golpes de phishing ligados à violação original;
  • Obter vantagem competitiva, quando o criminoso tem conexão com concorrentes e acesso a segredos comerciais e listas de clientes.

Casos de vazamento de dados no Brasil e no mundo

Em abril de 2022, em um comunicado do Mercado Livre, o vazamento de dados pessoais de quase 300 mil clientes foi confirmado. Parte do código-fonte da empresa foi roubado, mas a ação não comprometeu informações sensíveis dos clientes.

Em setembro de 2022, foi a vez do Banco Central. O vazamento de mais de 130 mil chaves Pix de clientes da “Abastece Aí” virou notícia. É o quarto incidente desde o lançamento do sistema de pagamento.

Empresas e instituições são alvos comuns, e os inúmeros casos provam isso. Veja outros incidentes relevantes:

  • Netshoes: o incidente com dados pessoais do e-commerce de artigos esportivos envolveu e-mail, número de CPF e data de nascimento de cerca de dois milhões de clientes;
  • Facebook: o escândalo envolvendo a Cambridge Analytica agravou o vazamento de informações de 87 milhões de usuários (mais de 440 mil brasileiros);
  • Uber: em 2016, um incidente expôs informações de 57 milhões de usuários, sendo 196 mil clientes brasileiros.  E-mail, número de celular e dados de carteiras de habilitação dos motoristas foram algumas informações comprometidas.

Essas violações podem causar sanções às empresas, conforme as normas de cada país onde atuam. No caso do Brasil, quem rege a proteção de dados pessoais é a LGPD.

Vazamento de dados e a LGPD

A Lei Geral de Proteção de Dados (LGPD) fornece um amplo conjunto de políticas de proteção de dados que as empresas devem seguir a fim de evitar incidentes relacionados à segurança das informações pessoais.

Seu foco é reforçar e assegurar o direito à privacidade e à proteção de dados pessoais, online ou não. 

Para isso, exige que as empresas tomem medidas para detectar incidentes e obedeçam as regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais.

Em outras palavras, as organizações devem, por exemplo, saber como evitar o vazamento de informações de brasileiros e estrangeiros aqui residentes para que não descumpram a LGPD.

É importante destacar que este descumprimento pode gerar consequências para a empresa, de notificação a multas de até R$50 milhões. 

Além das sanções administrativas, como se verá na sequência, a lei prevê também a reparação por eventuais danos, a chamada responsabilização civil.

Portanto, as empresas devem priorizar o entendimento de como podem cumprir as disposições da lei se quiserem permanecer competitivas em uma era cada vez mais digital.

Responsabilidade civil por vazamento de dados e a LGPD

A Lei Geral de Proteção de Dados, no artigo 42 em diante, estabelece que existe uma responsabilidade civil do controlador ou operador que causa danos a outrem no exercício de atividade de tratamento de dados.

Esse dano pode ser de natureza moral, patrimonial, individual ou coletivo e deverá ser reparado por efetiva indenização ao titular dos dados.

Sem entrar no debate sobre a subjetividade ou objetividade (a responsabilidade existe independentemente da existência de culpa), a lei estabelece algumas premissas importantes que as empresas devem considerar:

  • Quando há mais de um responsável pelo dano, o agente que o reparar tem direito de regresso contra os demais;
  • O operador é solidário pelos danos se descumprir as obrigações da lei ou quando não seguir as instruções do controlador;
  • Se a violação do direito do titular dos dados ocorrer em uma relação de consumo, valerá a regra de responsabilidade prevista no CDC;
  • Os controladores diretamente envolvidos no tratamento que originou os danos ao titular dos dados também respondem solidariamente, exceto nos casos previstos no art. 43.

E qual a previsão deste artigo 43? Ele traz as hipóteses em que os agentes de tratamento não serão responsabilizados. Eles devem provar que:

  1. não realizaram o tratamento de dados pessoais;
  2. realizaram o tratamento de dados pessoais, mas que não houve violação à lei de proteção de dados; ou
  3. o dano decorre de terceiro ou de culpa exclusiva do titular dos dados.

Por fim, as empresas devem se atentar a um último ponto sobre responsabilidade civil por vazamento de dados na LGPD: o que configura irregularidade no tratamento de dados a título de responsabilização?

Além de não observar as normas, o agente erra caso não forneça a segurança dele esperada pelo titular, o que inclui:

  • a forma pela qual é realizado;
  • os riscos e os resultados que razoavelmente dele se esperam;
  • as técnicas de tratamento disponíveis à época em que foi realizado.

Ou seja, o responsável deve dar muita atenção às medidas de segurança e boas práticas previstas em lei (artigo 46). 

Neste contexto, devem saber não só como ocorre o vazamento de dados, mas o que fazer quando isso acontece!

O que fazer em caso de vazamento de dados?

A empresa que foi vítima de um incidente de violação de dados deve adotar um conjunto de procedimentos. O primeiro passo é informar-se sobre o incidente e tentar identificar quais dados vazaram. 

Confira um breve passo a passo:

  1. Avaliar internamente o incidente para entender sua categoria, natureza, os titulares de dados pessoais afetados, bem como as consequências concretas e prováveis.
  2. Comunicar o controlador, caso seja operador, conforme regras da LGPD.
  3. Comunicar à Autoridade Nacional de Proteção de Dados e aos titulares de dados, se houver chance de risco ou dano relevante aos titulares.
  4. Elaborar uma documentação para cumprir os princípios de prestação de contas e responsabilização, o que envolve descrever as medidas tomadas, a avaliação interna do incidente e a análise de risco.

Vale, ainda, seguir as providências necessárias conforme a natureza dos dados. 

Se houve vazamento de credenciais de acesso, por exemplo, é preciso trocar as senhas expostas, ativar a verificação em duas etapas, analisar os registros de acesso e denunciar acessos indevidos ou tentativas.

Como evitar vazamento de dados na sua empresa?

Os maiores vazamentos de dados no Brasil e no mundo ocorrem por diversas causas, como as falhas de segurança e a falta de conscientização do usuário.

Por ser um grande risco às empresas, é preciso levar a sério cada uma delas, de modo a mitigar esses incidentes.

Veja a seguir algumas práticas eficazes!

  1. Limite o acesso aos documentos da empresa;
  2. Configure corretamente o armazenamento em nuvem;
  3. Avalie a exposição de dados a terceiros;
  4. Tenha uma política de segurança bem definida;
  5. Priorize a conscientização das equipes;
  6. Aposte em soluções tecnológicas.

1. Limite o acesso aos documentos da empresa

Uma boa medida que é frequentemente recomendada para mitigar os riscos de vazamentos é limitar o acesso aos documentos da empresa. Isto significa que somente o pessoal que tem uma razão legítima para ver e usar o documento pode fazê-lo. 

Mesmo assim, o acesso deve ser limitado de acordo com funções e áreas de especialização. 

Como resultado, as empresas conseguem controlar melhor quem tem acesso aos dados sensíveis para que eles permaneçam seguros e protegidos o tempo todo. 

2. Configure corretamente o armazenamento em nuvem

O armazenamento em nuvem revolucionou a forma como gerenciamos dados, permitindo-nos armazenar grandes quantidades de dados remotamente e acessá-los com segurança a partir de qualquer dispositivo ou local. 

No entanto, a configuração incorreta do armazenamento em nuvem pode criar um elo fraco na cadeia de segurança e torná-lo vulnerável ao data leak

Para evitar isso, as organizações devem garantir que elas usem um protocolo seguro para a transmissão de dados ao configurar o armazenamento em nuvem. Protocolos de autenticação também podem ser eficazes. 

3. Avalie a exposição de dados a terceiros

A coleta e armazenamento de dados é um componente crítico nas operações diárias de muitas organizações. No entanto, é importante também avaliar as exposições de risco associadas ao acesso de terceiros a essas informações. 

Ao obter visibilidade sobre quem tem acesso autorizado às informações, o gestor pode realizar esta análise e tomar medidas para mitigar o risco de violação de dados. 

Este tipo de avaliação de dados ajuda a identificar tanto áreas onde segurança extra quanto camadas de autenticação são necessárias, enquanto também reconhece quais áreas sensíveis estão em maior risco do que outras. 

4. Tenha uma política de segurança bem definida

Uma política de segurança da informação bem definida estabelece diretrizes e expectativas para o gerenciamento responsável das informações de uma empresa.

Isso envolve a forma com a qual os colaboradores devem lidar com dados confidenciais, os tipos de acesso à informação permitidos, a proteção dos dispositivos móveis, os requisitos para a criptografia de dados, dentre outros pontos.

Uma questão fundamental que a política traz são as medidas que devem ser tomadas em caso de violação de segurança.

Ter este tipo de política de segurança em vigor mostra a devida diligência em relação às normas brasileiras e orienta a conduta dos responsáveis em caso de vazamento.

5. Priorize a conscientização das equipes

Toda organização precisa tomar medidas para proteger seus dados contra vazamentos potenciais, mas o passo mais importante de todos é aumentar a conscientização dos funcionários. 

Ajudar os funcionários a reconhecerem sinais de vazamento potencial de dados de fontes internas e externas, além de colocar em prática a política de segurança e educá-los sobre o manuseio adequado de informações sensíveis, é fundamental para a empresa.

Assim, é possível se prevenir de maneira eficaz contra atores potencialmente maliciosos.

6. Aposte em soluções tecnológicas

Por fim, a adoção de soluções tecnológicas também contribui para evitar o vazamento de dados. 

Criptografia de rede, protocolos de controle de acesso, sistemas baseados em nuvem, ferramentas avançadas de autenticação e sistemas de assinatura eletrônica são algumas soluções que ajudam na prevenção de incidentes.

Seguindo estes passos, sua empresa estará pronta para evitar incidentes e proteger as informações sensíveis da organização.

E uma boa maneira de fazer isso em relação aos documentos é melhorar a gestão com o TOTVS Assinatura Eletrônica.

Infográfico TOTVS Assinatura Eletrônica

Conheça a solução TOTVS Assinatura Eletrônica

O sistema de assinatura eletrônica da TOTVS é uma ferramenta que previne incidentes com dados em duas frentes.

Na primeira, a plataforma utiliza um alto padrão de criptografia (SHA 256) para conferir segurança e validade jurídica aos documentos no ato da assinatura.

Na segunda, ela faz o armazenamento e a gestão eletrônica de documentos no ambiente TOTVS Cloud, o que significa segurança na guarda das informações armazenadas.

Conheça e experimente grátis por 30 dias o TOTVS Assinatura Eletrônica!

https://youtu.be/MagxtUvYvVE

Conclusão

O vazamento de dados causa impactos negativos para as empresas, seja de natureza jurídica ou econômica. 

Para evitar esses incidentes, é fundamental adotar boas práticas de segurança da informação, o que envolve o limite de acesso aos documentos, a conscientização e as soluções tecnológicas.

Com isso, é possível atender às normas da LGPD e manter a empresa mais segura quanto ao vazamento e aos ataques cibernéticos. 

Conheça melhor o que é a LGPD e saiba como sua empresa deve se adequar para cumprir essa importante lei.

Artigos Relacionados

Deixe aqui seu comentário

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


Usamos cookies para fornecer os recursos e serviços oferecidos em nosso site para melhorar a experência do usuário. Ao continuar navegando neste site, você concorda com o uso destes cookies. Leia nossa Política de Cookies para saber mais.