Vazamentos de dados. E agora?

Recentemente estava refletindo sobre um post aqui do Diolinux sobre segurança online. Apesar desse tema ser um pouco complicado para mim, eu tento tomar todas as devidas precauções para evitar ao máximo o vazamento de meus dados e arquivos pessoais. Meu sistema não é perfeito mas creio que já estou melhor que a maioria dos brasileiros que tem zero conhecimento sobre segurança e nem se quer se importam com isso.

Mas apesar de eu seguir quase todas as recomendações dos especialistas em segurança, como dizia os estoicos, há coisas que estão sob o nosso controle e há coisas que não estão.

Recentemente tive a infeliz surpresa de que havia uma conta cadastrada em meu CPF em uma carteira digital, porém… nunca fiz tal cadastro. Para minha sorte, o meliante não pediu crédito nem fez empréstimos (ainda). Mas é assustadora a facilidade com que alguém abriu uma carteira digital em meu nome somente portanto o número de meu CPF e nada mais.

Creio que meu documento deva ter vazado junto com aquele megavazamento de dados que houve recentemente. Ou poderia ter saído de qualquer lugar, já que quase tudo pede nossos dados.

Mas a questão é: e agora? Querendo ou não, somos praticamente obrigados a ter esses documentos se quisermos fazer qualquer coisas relacionado ao dia-a-dia. As crianças de hoje já saem da maternidade portando um CPF. E infelizmente essa obrigação não vem com a mesma preocupação sobre a segurança de nossos dados por parte das autoridades.

Algo precisa mudar ou a quantidade de golpes subirá de maneira galopante dos próximos anos sem com que ninguém faça nada. A melhor ideia que tive até agora seria um novo sistema composto por um aplicativo e um número de CPF exclusivo para acesso. A ideia é que esse número não seja publicado em lugar nenhum. Dentro desse aplicativo, o cidadão pode autorizar números derivados do CPF original para cada serviço que exija tal identificação. Esse número só serviria para um único serviço (um site de compras específico, por exemplo). Dessa forma, caso o site deixe vazar os dados, o CPF vazado não serviria em mais nenhum lugar. Claro que o aplicativo deveria contar com uma série de recursos de segurança.

Isso não evitaria fraudes mas acho que diminuiría bastante o acesso a dados roubados. A minha única preocupação é que nem todo mundo ainda tem acesso a tecnologias e internet, e também, muita gente tem dificuldade para lidar com isso.

Enfim, você já passou por isso? Tem alguma ideia de segurança? E o que o mundo open source poderia fazer para melhorar a segurança de nossos dados? Blockchain ajudaria? Deixe aí sua opinião

11 curtidas

Hoje, temos opção de ter um cartão de crédito virtual, que pode ser cancelado e substituído por outro livremente. Logo, a ideia de um CPF virtual é perfeitamente razoável. Aliás, podemos, com um certo trabalho, mudar de nome, mas não podemos mudar de número de CPF ─ e essa imutabilidade, a meu ver, só existe para a conveniência preguiçosa dos burocratas.

3 curtidas

Taí uma discussão muito interessante.

Já nem lembro mais (é por volta de 2013) um site que tinha vazado uma quantidade de dados tão absurda de brasileiros, vinculada ao CPF, que parecia claramente um vazamento de alguma declaração de imposto de renda de uns anos atrás (sei disto por causa do endereço em que estava cadastrado). Agora esqueci qual é o nome.
Mas, enfim, ali eu já era formado em TI, já mexia com BI e tinha uma noção do quanto era fácil vazar dados e criar um perfil confiável a partir do cruzamento de informações. Foi meu último “sustinho”, e bem pequeno mesmo, porque já era em linha com o que esperava.

Passados tantos anos, com maior tecnologia, com gente dando dados literalmente de graça, óbvio que o problema só se tornaria maior.

Eu não acredito que haja uma solução simples para esta questão, e sinceramente, nem fico TÃO preocupado assim. Acredito que o maior risco e quem tem que tomar medidas é o mercado financeiro, subsidiariamente, comércio eletrônico, pois estes são os que sofrem os maiores ataques e também acredito que isto já esteja precificado.
Na prática, se até hoje ninguém foi preso por vazar dados acredito que seja muito difícil que alguém tenha medo disto hoje, ou mesmo que se consiga fazer uma repressão adequada a ponto de mitigar o problema.

Como pessoas físicas, devemos ter conduta para que se houver alguma coisa, ficar claro que possa ser contestado e tomar as medidas cabíveis.
Em termos de finanças, indico um sistema do Banco Central chamado Registrato, que vai te dar duas informações básicas fundamentais para acompanhar o uso do seu CPF, gratuitamente:
SCR: cadastro que mostra todas as dívidas registradas em seu nome e histórico dos últimos cinco anos.
CCS: cadastro de todas as suas contas com instituições financeiras, com data de início e, quando for o caso, término;
E a novidade de chaves Pix vinculadas ao seu CPF.

O ideal é dar uma conferida uma vez por mês, quando os relatórios são atualizados, mas pelo menos ao conhecer a ferramenta ou quando você desconfiar de algo.
Alguns bureaus de crédito oferecem serviços semelhantes, mas cobram um valor que considero elevado, cujo benefício é o monitoramento constante e o envio de alertas a cada consulta.

6 curtidas

Um grande problema são os sites de compras online e foruns… A maioria não possuem a opção de excluir o cadastro.
O ideal seria excluir o cadastro nos sites de compras após cada compra online.
Principalmente lojas menores. Que tem pouca ou nenhuma preocupação com segurança.

Outro problema são os sites q guardam as senhas não codificadas. Vc pode observar isso ao tentar recuperar a senha de um site/forum. Se ele devolver mesma a senha pra vc é sinal q ela não foi codificada no banco de dados e qualquer un q tenha acesso ao BD pode visualizar essa senha.

No modelo atual seus dados (CPF, endereço, senhas…) ficam nas mãos dos administradores do sistema, q podem negocia-los. Ou ficam dando sopa em alguns servidores, só esperando um ataque hacker

5 curtidas

Basicamente, só com o seu CPF se alguém abrir uma conta e começar a gerar cobrança pra você, você não só pode não pagar como pode abrir um processo contra, pouca gente sabe mas CPF não é um documento que precisa ser mantido a sete chaves, se um dia você processar ou ser processada por alguém por exemplo, qualquer um com seu nome completo vai saber seu CPF e seu endereço. Apenas contas débito (ou seja contas onde você precisa por dinheiro e só pode usar o que você colocou na conta, famosas pré pago) podem ser abertas, então não que ele ainda não fez, ele meio que não pode, dá uma olhada nesse vídeo é um advogado falando


Mas isso não significa que esses vazamentos não podem ser perigosos, coisas que sob hipotese alguma podem vazar:

  • Numero do cartão de crédito + CVV
  • Scan frente e verso da sua identidade, ou todos os dados simultaneamente
  • Scan da sua certidão de nascimento/casamento
  • Conta de água ou de luz com o histórico de consumo

Por que se alguém usar uma combinação de 2 ou mais desses itens com o CPF você não pode recorrer se abrirem uma conta de crédito (ou outra forma de pós pago)

4 curtidas

Tem alguma jurisprudência neste sentido? Para mim não algum nível de verificação no máximo reduz o dano material/moral em caso de ação, mas não autoriza, muito menos responsabiliza por um golpe de terceiro.
Alguns destes dados são muito facilmente acessíveis.

3 curtidas

Exatamente essa a ideia. Tirar a imutabilidade do CPF e fazer opções exclusivas para cada função ou até mesmo números temporários.

Em tese deveria ser isso, mas eles parecem não dar a mínima. Não sei se é porque eles tem algum seguro. Só sei que tenho visto vários relatos de golpes e pouquíssima resolução dos problemas. Quando eu tive um cartão roubado quando novinha, eles até estornaram o valor, mas tiraram quase todo o crédito que eu tinha no mercado e foi um custo para recuperar.

Foi atarvés desse site que eu descobri o cadastro indevido em meu nome.

Acho que excluir o cadastro seria muito “burocrático” e poucas pessoas fariam isso. Talvez um sistema que pedisse autorização a cada compra resolvesse o problema. Por enquanto, o ideal é usar os cartões virtuais temporários ou deixar o cartão sempre bloqueado e só desbloquear quando for usar.

O problema é que é bem difícil provar que não foi você quem pediu um empréstimo, por exemplo. Reaver dinheiro roubado como está acontecendo nos golpes com o PIX, dentre outros golpes bancários então, nem se fala.

Mas o maior problema a meu ver é que, devido a uma coisa tão simples como o “roubo” do CPF, tem-se um prejuízo da imagem financeira, um prejuízo econômico e a perda de tempo muito grande envolvida em tudo isso. Em termos de prejuízo da imagem financeira, não sei o que está acontecendo, mas o meu Score Serasa, por exemplo, está despencando e creio que esteja relacionado a isso. Segundo o Serasa, meu CPF foi consultado a cada dois dias por instituições financeiras no último mês, fazendo a pontuação cair. Não sei que efeitos isso terá no futuro. Meu Score foi de 906 para 300 e alguma coisa. Caso alguém tenha dados de cartão de crédito roubado também, eles até estornam o valor, mas você perde crédito no mercado.

Em termos de perdade de tempo, tive que me deslocar à uma delegacia pra denunciar, depois tenho que ir no PROCON e depois nas Pequenas Causa do Fórum da cidade. É uma perda de tempo terrível e um prejuízo laboral muito grande. Eu atendo 30 pacientes do SUS em meio período de trabalho. Perder um dia de trabalho se torna o caos para mim, para o sistema e para os pacientes. Portanto, o uso indevido de um CPF é bem mais prejudicial do que se imagina a princípio.

Olha isso:

2 curtidas

O pior é que o sistema brasileiro é quase tão caótico quando o dos EUA, onde o único registro nacional é o número do Seguro Social (algo semelhante ao NIS/inscrição no INSS daqui). Outros países adotam o registro único, onde o controle sobre os dados dos cidadãos é mais firme - no Chile (sim, eu nasci lá), ao se registrar no Cartório do Registro Civil, recebi um único número, que serve para meu CPF (lá se chama RUT, rol único tributário), identidade, passaporte e por aí vai.
Se isso piora ou melhora o controle sobre vazamento de dados, aí não sei. Mas facilita a vida de todo mundo (por favor, sem o papo de “ai, o governo controla minha vida”, pq sempre controla, com 1 ou 246 números, tá?)

2 curtidas

Nisto aí, e nunca custa repetir, porque pouca gente tem acesso à informação, é um outro problema, e cabe ação no juizado especial de pequenas causas, em que você pode representar sem ter advogado.

Ação para mim é sempre o último caso. Até porque tem caso que você acha que é “batata”, e perde (eu tenho um caso de contrato que contestei tarifas que não tinha minha assinatura em vários documentos obrigatórios para autorizar a cobrança - tarifas, taxa acordada etc), mas tem caso que você acha que vai perder e ganha bastante, que acaba “compensando”.

O mais doido é minha tese de que o juiz precisa “entender sua dor”. É raríssimo alguém processar uma companhia de ônibus, por qualquer motivo que seja, e principalmente ganhar. Numa das cidades em que morei, em média, o ônibus saía com uma hora e meia de atraso em relação ao horário marcado. E era da cultura da cidade. Até o povo falava “que cidade tem ônibus que sai no horário?”. Mas algum probleminha de pelo em ovo num voo, é quase certo que você ganha alguma indenização. Eu mesmo, até hoje me lamento algumas situações de sacanagem que hoje teria processado e ganho no mínimo umas quatro passagens para cada problema que tive.

Mas, enfim, no dano do crédito, é algo que entra nesta linha da teoria em que normalmente o consumidor ganha. Se a empresa te emitir um cartão de crédito sem autorização, além do cancelamento imediato, é relativamente fácil você conseguir uns 2 mil de indenização no juizado.

No caso de qualquer problema de crédito relacionado a uma conduta que não foi sua, além da reparação nos cadastros, é cabível uma indenização que vai variar conforme o caso (até porque tem o prejuízo, o lado material da coisa, que só se constata na prática), mas em termos de dano moral, conforme o estado, o caso, e a dificuldade por parte da empresa, vai valer de R$ 3.000,00 a R$ 10.000,00.
Em geral, o aborrecimento é maior que isto, mas pelo menos fica uma sensação de justiça.

Tinha uma época que minha visita para tratar de ações com provedores de internet era trimestral. Uma grande operadora, quase falida, me pagou mais para mim do que eu para ela durante os anos de má prestação do serviço. E aí, sendo “mais que grátis”, até que o preço não ficou tão ruim, embora o simples nome dela já me cause arrepios.

2 curtidas