Administradora afirmou que uma empresa de segurança digital investiga o possível vazamento e que comunicou o caso às autoridades policiais. Ataque a sistema de reconhecimento facial pode ter exposto dados de moradores de condomínios no interior de SP
Bernard Hermant/Unsplash
Centenas de moradores de condomínios localizados na região de Jundiaí (SP) podem ter tido seus dados vazados na internet. As informações – que incluem documentos pessoais, e-mail, endereço, telefone e até mesmo foto – estariam à venda na dark web (entenda o termo abaixo) e em grupos do
Telegram.
Participe do canal do g1 Sorocaba e Jundiaí no WhatsAppO caso veio à tona após uma denúncia anônima e é investigado pela Polícia Civil. Uma pessoa que se identificou como moradora de um condomínio em Jundiaí teria descoberto o vazamento após ser alvo de golpistas. “Já recebi ligações de falsos sequestros. Porque lá [base de dados] tem os dados das pessoas que moram comigo e telefone”, conta.
Os dados expostos são do sistema de reconhecimento facial de uma empresa terceirizada que administra condomínios residenciais e comerciais nas região de Jundiaí, Campinas (SP) e também em Minas Gerais.
As informações foram disponibilizadas pelos criminosos em prints (veja abaixo) de cadastros do sistema, que incluem RG, CPF, data de nascimento, telefone, e-mail, modelo e placa do veículo e foto de autenticação.
Dados foram vazados de condomínios da região de Jundiaí (SP)
Reprodução
“Recentemente instalaram reconhecimento facial e coletaram nossos dados pessoais. Vi a dos meus vizinhos de apartamento e sei que a foto foi tirada para o cadastro de portaria. Não me sinto seguro com essa empresa no condomínio”, diz o morador, cuja identidade foi preservada pela reportagem.
Procurada, a empresa disse que foi alvo de tentativa de invasões recentemente, porém, o ataque foi neutralizado pelo sistema de segurança. Além disso, os responsáveis afirmam que nenhuma informação foi roubada dos servidores.
De acordo com especialista, criminosos digitais podem ter invadido o sistema sem deixar rastros
Philipp Katzenberger/Unsplash
Conforme Renato Franchi, professor de segurança da informação do Instituto Federal de São Paulo, do campus Itapetininga (SP), é possível que os sistemas tenham sido invadidos por criminosos que não deixaram “rastros”.
“Nem todo o sistema armazena todos os fluxos de acesso. Se não foi programado para fazer esta verificação, seria possível entrar, pegar os dados dos clientes e sair sem deixar registro.”
Os dados, ainda conforme o especialista, também podem ter sido vazados por pessoas que tiveram acesso ao sistema e às senhas de funcionários da empresa.
Por telefone, a companhia afirmou que uma empresa de segurança digital investiga o possível vazamento e que comunicou o caso às autoridades policiais.
Empresa de segurança investiga possível vazamento de dados após ataques
Taylor Vick/Unsplash
Infração
De acordo com a advogada Valéria Cheque, especialista em direito digital e crimes cibernéticos, o vazamento de dados pessoais é uma infração à Lei Geral de Proteção de Dados (LGPD) – que controla a privacidade e o uso de informações – e a prática pode gerar multa.
No que tange às informações pessoais, o artigo 52 da LGPD define sanções aos agentes de tratamento de dados, responsáveis por controlar e operar os dados.
A Autoridade Nacional de Proteção de Dados (ANPD), autarquia do governo federal, é responsável por fiscalizar e implementar a LGPD.
“Ela [ANPD] tem autonomia para decidir que tipo de metodologia e cálculo do valor base das multas que vai ser aplicado. É ela que vai definir através do regulamento próprio dela. Então pode ser desde uma advertência, uma multa simples de 2% do faturamento até o limite de 50 milhões, ou pode ser uma multa diária”, explica a especialista.
Além disso, segundo Cheque, a Constituição Federal define a proteção de dados como um direito fundamental.
“A emenda constitucional 115, de 10 de fevereiro de 2022, altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais (…) nossos dados também estão protegidos aqui no artigo 5º da Constituição Federal, que versa sobre os direitos fundamentais, que são garantias com objetivo de promover a dignidade humana e proteger os cidadãos (…) Nossos dados são extremamente importantes.”
Quem é responsável pelos dados?
De acordo com a LGPD, explica a advogada Valéria, os condomínios não são obrigados a indicar quem é responsável pelo tratamento de dados pessoais – processo que vai de coleta e processamento ao descarte das informações.
Apesar disso, “o condomínio vai ter que proteger desde os dados dos moradores até dos visitantes e também prestadores de serviço”, ressalta a advogada.
“A partir do momento que eu estou dando os meus dados para o condomínio, eles são responsáveis, porque são dados sensíveis.”
Nos confins da internet
A reportagem “mergulhou” na dark web para entender como funciona o comércio ilegal de dados. É nesta camada da internet em que atividades ilegais – como venda de drogas, armas, pornografia infantil e até contratos para assassinatos – acontecem deliberadamente.
Em fóruns, hackers anunciam e compartilham arquivos com milhares de informações confidenciais. A maioria dos bancos de dados expostos é de grandes empresas e órgãos governamentais, como o DataSUS, do Ministério da Saúde (MS), que expôs pelos menos 243 milhões de brasileiros.
Alguns dados são compartilhados gratuitamente. Outros são vendidos por valores milionários, conforme tipo e tamanho do conjunto de dados. A transação ocorre, em sua maior parte, por meio de bitcoin ou outras criptomoedas.
O g1 se ‘embrenhou’ na deep web para entender como funciona a venda de dados vazados
Marcos Serra Lima/g1
Veja mais notícias da região no g1 Sorocaba e Jundiaí
VÍDEOS: assista às reportagens da TV TEM
