"Falha no site da Eletropaulo expõe dados de 6,4 milhões
Uma falha de segurança no site da AES Eletropaulo permitia, até a noite de ontem, que fossem acessados e alterados os dados cadastrais e de pagamento dos 6,4 milhões de clientes residenciais da companhia de energia elétrica da Grande São Paulo.
A brecha foi encontrada na semana passada pelo estudante de sistemas de informação Carlos Eduardo Santiago, 20 - ele relatou o caso ao serviço de atendimento ao consumidor da Eletropaulo na última sexta (31).
A Eletropaulo só começou a resolver o caso ontem, após ser questionada pela Folha. A empresa disse que o problema seria totalmente corrigido até a manhã de hoje.
Até as 18h30 de ontem, em cinco passos e usando só o CPF e o código de instalação informado na conta, qualquer cliente da Eletropaulo podia entrar no perfil de outro cliente e alterar as informações de contato (o telefone e o e-mail do titular) e da fatura (o endereço de entrega, a data de vencimento e a forma de pagamento) (...)
Para o estudante que encontrou a falha, a companhia foi negligente. 'É um erro primário, e eles [desenvolvedores do site] sabem que o erro existe', diz Carlos Eduardo Santiago (...)
Sandro Suffert, diretor de tecnologia da empresa Apura Cibersegurança, diz que esse tipo de falha é recorrente (...)
'Isso seria evitado se houvesse controle mais rígido na autenticação do site, por meio dos chamados 'cookies', por exemplo. Seria preciso mais cuidado na criação do serviço, algo que, por tomar mais tempo, custaria mais'".
Essa não é a primeira vez que esse tipo de problema acontece e tampouco será a última. As empresas mudam, mas o problema persiste. Pior: acontecerá com mais frequência e com consequências mais graves no futuro. Nós mesmos já falamos desse aqui inúmeras vezes, inclusive no último artigo.
Ao contrário do que o especialista consultado acima disse, não há solução. Não é invadindo ainda mais a privacidade do consumir com os chamados cookies (códigos deixados pelos sites visitados que rastreiam o comportamento do internauta) que o problema de invasão de privacidade deixará de existir. Não há solução porque todo sistema de segurança é violável: bastam recursos (materiais, humanos e tempo). Havendo recursos, acontecerá.
Mas, embora inevitável, há mecanismos de prevenção e mitigação que ajudam, e devem ser adotados como política pública.
Prevenir
Há no país uma cultura de coleta de dados desnecessariamente. Identidade tem valor emocional, social e, sobretudo, financeiro. Se alguém – empresa, governo ou indivíduo – coleta dados, esses dados precisam ter alguma finalidade e uma contraprestação, ou estamos fornecendo algo a troco de nada. Se você não dá a chave de sua casa para estranhos na rua, por que deve ser obrigado a dar seus dados pessoais? Sua identidade possibilita o acesso à sua privacidade e patrimônio tanto quanto a chave de sua casa.
Nos acostumamos a fornecer dados pessoais sem nos perguntarmos a razão; consequência da cultura da desconfiança do país: você está mentindo até que prove o contrário. A internet tornou a coleta e a consequente perda de tais dados algo rotineiro e de custo mínimo.
Você já se perguntou por que uma empresa de eletricidade precisa de seu RG e CPF? Países como EUA e Reino Unido possuem sistemas de distribuição de energia muito mais eficientes que o nosso e não possuem sistema nacional de identificação. O que a mais nossas empresas estão nos fornecendo em troca de reterem nossos dados pessoais? Um serviço melhor? Energia mais barata?
‘Ah, é necessário para a segurança’, alegam os fetichistas.
Fornecer um dado não quer dizer que esse dado seja verdadeiro. Em 30 segundos no Google uma criança consegue achar RG e CPF falsos. Se uma criança consegue, um criminoso consegue. Se ele os usa para se fazer passar por alguém, o resultado é óbvio: a empresa continuará levando calote. A única diferença é que serão os dados da vítima que irão para um banco de dados de mal pagadores, enquanto o criminoso procura dados de uma nova vítima. Em outras palavras, o criminoso não é afetado porque usará dados que não são seus. E o inocente é afetado porque seus dados agora estão à disposição do mundo, inclusive de criminosos.
‘Ah, mas as empresas podem checar os dados antes de fornecerem energia’.
Isso se checarem. O fato de coletar não significa que irão checar. Quase nenhuma checa. Além disso, teriam de checar contra banco de dados de identidade das 26 unidades federativas brasileiras, Receita Federal, etc. Checam? Quanto mais dados requeridos, mais fácil é criar uma cortina de fumaça (em inglês surgiu até uma expressão para isso: data overload).
A coleta de dados desnecessários funciona apenas psicologicamente. Uma espécie de chupeta eletrônica que não aumenta a segurança de ninguém, aumenta apenas a sensação de segurança.
Além disso, ao confiar nos dados coletados, a empresa está confiando em um segundo sistema, o qual é tão ou mais vulnerável quanto o seu. Qual foi a última vez que você passou um dia sem ouvir falar de alguém que foi preso com CPF ou RG falso?
Se você vai fornecer energia para uma casa, você precisa de duas coisas: um endereço e uma conta bancária vinculada àquele endereço. E é isso que EUA e Reino Unido fazem.
Se outros dados, desnecessários, não forem coletados, não serão perdidos por elas.
Mitigar
Falamos disso no último artigo, mas vale repetir:
Precisamos de leis que obriguem as empresas que lidam ou guardam informações de clientes a declararem com total transparência e imediatamente todas as violações ocorridas, os danos sofridos (tantos os já conhecidos quanto os prováveis), as medidas paliativas e as medidas preventivas adotadas. Deixar por conta das empresas a decisão sobre o que e quando divulgar, e mesmo se devem divulgar, não funciona.
Mas, o mais importante: leis que punam tais empresas. A razão pela qual as empresas perdem tantos dados é porque não lhes custa nada. Ao passar a punir financeiramente (e rigidamente) tais empresas quando perdem dados alheios, as empresas terão de se perguntar se vale a pena coletá-los em primeiro lugar. Nenhum acionista quer ficar sentado em cima de uma banana de dinamite.
Além disso, leis como essa geram a autocrítica. Se em vez de se esconderem atrás de desculpas as empresas vierem a público dizer o que aconteceu e que providências estão tomando para evitar um novo problema, elas são forçadas a avaliarem se seus sistemas e processos atuais são adequado.