O recente evento de invasão do Twitter ligou um alerta no mercado e reacendeu a discussão: como está a segurança dos dados dos usuários?
O mundo digital presenciou recentemente uma invasão do Twitter onde, através de um console de gerenciamento, hackers acessaram contas verificadas de vários usuários (e empresas) e aplicaram golpes em diversas pessoas.
As investigações ainda estão em curso. Circulam informações de que funcionários da empresa estão envolvidos, inclusive com pagamentos para liberar acesso.
Não bastasse essa, há duas semanas a concessionária de energia do RJ, a Light, confirmou que seus sistemas de administração foram afetados por um malware que criptografa os dados, impedindo o acesso.
Curiosamente, isso também está acontecendo com a Garmin, empresa especializada em localização e que atende desde o mercado de relógios inteligentes até navegação marítima e aérea.
Entretanto quero discutir um ponto importante: como fica a segurança dos dados dos usuários nesses casos?
Seu roteador é seguro? Leia aqui sobre o assunto.
Garantir a segurança dos dados dos usuários não é tão simples.
Primeiro, vamos analisar a situação do Twitter. O mundo descobriu que a empresa tem uma ferramenta que permite tudo na sua plataforma. Piora: várias pessoas dentro da empresa tem acesso a essa ferramenta.
O elo mais fraco de segurança em qualquer sistema é o usuário dele, seja ele uma pessoa experiente ou um iniciante. É por isso que a Apple é tão contrária a criação de ferramenta similar para o iOS.
Para começo de conversa, uma ferramenta com tamanha abrangência jamais deveria existir. É uma concentração de poder muito grande nas mãos de algumas pessoas que podem ser comprometidas seja por qualquer motivo.
Ou seja, a segurança dos dados dos usuários da rede social em questão simplesmente não existe. Esperneiem o quanto quiserem, mas suas DMs, só para ficar nisso, são praticamente públicas.
Não vou citar números de telefone, nomes completos, etc…
Vamos falar agora dos casos Light e Garmin: não é necessário ser um perito para entender que o caso envolveu uma das duas possibilidades (ou as duas): 1- software com brechas e 2- ação indevida do usuário.
Nesse caso foram “apenas” malwares que criptografam os sistemas e cobram criptomoedas pelo sequestro dos dados, mas imaginem se fosse um software espião?
Mas pra isso temos a poderosa LGPD, bastião da segurança e privacidade dos usuários que tem seus dados guardados pela força da lei. Será mesmo?
A LGPD garante a segurança dos dados dos usuários?
Resposta curta: não.
A Lei Geral de Proteção de Dados é um avanço, mas ela é muito mais presente no que diz respeito ao que os serviços podem ou não fazer com os dados do que como eles devem ser armazenados.
Ou seja, ela foca muito na privacidade, não nos aspectos técnicos da segurança dos dados dos usuários.
A LGPD não vai impedir que bancos de dados descriptografados continuem existindo, que senhas sejam armazenadas de forma insegura, que vazamentos não ocorram.
No máximo, a lei prevê as punições que serão aplicadas para quem escorregar no quesito segurança de dados dos usuários.
Isso não quer dizer que a LGPD não seja um avanço. Sim, ela é. Assim que ela entrar em vigor os serviços que operam no Brasil terão regras sobre como manipular os dados dos usuários e isso melhora a privacidade.
Portanto, apesar de não garantir a segurança dos dados do usuário, a LGPD é um benefício para nós porque prevê a privacidade e as punições necessárias para quem for irresponsável com esses dados.
Então devo apagar todas as minhas contas da internet e correr para as montanhas?
Obviamente não. Logicamente não seria efetivo porque seus dados ainda estariam lá armazenados, você só não teria mais acesso a eles.
A questão aqui é que você deve escolher bem onde colocar os seus dados. Segurança de dados começa exatamente por essa etapa: sendo crítico com o que e onde você compartilha.
Obviamente isso não impede que dados sejam vazados ou que o sistema não seja invadido, mas escolher serviços sérios é uma boa prática porque nesse caso há, pelo menos, o desejo do fornecedor de tratar os dados responsavelmente.
A melhor forma de manter a segurança dos dados é não fornecer eles a todos.
Talvez o leitor não saiba, mas existe um protocolo chamado OpenID que é responsável por autenticar usuários compartilhando o mínimo de informações entre os serviços participantes.
De forma muito resumida, o OpenID funciona como uma entidade que garante para os serviços participantes que, caso você tenha conta em um deles, esse garante a sua identidade nos outros.
Por exemplo: você cria uma conta no serviço A compatível com OpenID e nele você preenche Nome, e-mail, e telefone. Ao acessar o serviço B também compatível, você informa que tem conta no serviço A.
O serviço B exige os mesmos dados, então ele lê temporariamente os dados necessários diretamente do serviço A, sem armazenar.
Digamos que o serviço B é um e-commerce. Para emitir a nota fiscal ele precisa do CPF do usuário. Nesse caso ele lê os dados do serviço A e solicita do usuário apenas o dado que ele não tem, no caso o CPF. Dessa forma, no serviço A você tem armazenados o Nome, e-mail e telefone. No serviço B você tem armazenado um token de acesso a esses dados do serviço A e o CPF.
Se houver um vazamento de dados do serviço B, o que vaza é o CPF e um token criptografado que não identifica a conta origem, que é o serviço A. Caso haja um vazamento no serviço A, seu CPF não estará nos dados vazados. Dessa forma, a segurança dos dados melhora porque um vazamento não incluiria tudo sobre o usuário.
Assim sendo, usar um OpenID é uma boa ideia. Fazem parte dessa rede essas empresas aqui, com destaque para Google e Microsoft. Ou seja, se você tem contas nesses serviços, pode usar essa credencial em qualquer outro membro do grupo.
Como sempre, a Apple decidiu jogar sozinha com seu “Sign in with Apple” que ninguém parece ter interesse em usar…
Afinal, tudo se resume à confiança?
Resposta curta: sim.
Pode parecer brincadeira, mas a segurança dos dados dos usuários se resume à confiança no serviço usado.
Você confia que o serviço é sério, que implementa boas práticas de segurança da informação, que usa softwares atualizados e configura seus dispositivos de infraestrutura da forma correta.
Entretanto, o usuário não precisa (e nem deve) ser passivo na proteção dos seus dados. Desconfie sempre quando receber um e-mail solicitando para clicar em algum botão, principalmente se o texto for sensacionalista.
Pense sempre em ter uma VPN (paga, de preferência), que criptografe seus dados para que só você e o serviço usado tenham acesso às informações trocadas.
E tenha sempre em mente: se você não está pagando por alguma coisa, então o produto é você, portanto pense um pouco mais antes de sair dando informações que são valiosas por aí.
Gostou do texto? Comenta aí abaixo a sua opinião. Compartilhe nas redes sociais para divulgar. Não esquece de entrar também no nosso grupo do Telegram, é só acessar o botão “Canal do Telegram” lá no topo da página ou por aqui.
Comentários