Quer saber se os seus dados foram comprometidos em vazamentos de dados? Uma plataforma gratuita permite monitorar incidentes de segurança. O serviço Have I Been Pwned? (‘Eu fui sacaneado?’, em tradução livre) cataloga episódios de exposição e permite mapear informações a partir de um endereço de e-mail. Como mostrou o Estadão, 83 parlamentares tiveram informações privadas expostas após serem vítimas de vazamentos de dados.
Adotar uma série de boas práticas na vida virtual reduz as chances de o usuário ser afetado por vazamentos de dados, explica Rony Vainzof, consultor em Proteção de Dados e sócio fundador da VLK Advogados.
Mesmo após os vazamentos, algumas atitudes podem ser tomadas pela própria vítima, como troca de senhas expostas e ativação de verificação em duas etapas. “No caso de dados de cartões de crédito ou débito, é possível monitorar sua vida financeira e sua identidade, ativando alertas de abertura de contas com o seu CPF”, disse.
Veja como utilizar a ferramenta
- Acesse a plataforma em https://haveibeenpwned.com/;
- No campo “e-mail address”, digite o e-mail que deseja verificar se foi comprometido em incidentes de segurança;
- Clique no botão “pwned?”.
A tela verde com o texto “Good news – no pwnage found!” indica que a conta não foi encontrada em nenhum incidente de segurança monitorado pela ferramenta.
Já o fundo vermelho aponta comprometimento do e-mail em vazamentos de dados. Para verificar os locais onde essas informações foram encontradas, role a página até o final.
Usa a mesma senha para todos os serviços? Também é possível saber se a credencial já foi vazada on-line.
Basta seguir para a seção Password do mesmo site. No campo, password, digite a senha para avaliação. O fundo vermelho indica que a informação já foi exposta; o verde, que a senha não foi comprometida.
Como evitar o vazamento de dados?
De acordo com a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), os cuidados começam no momento do cadastro. O primeiro passo é reduzir o repasse de informações a terceiros, orienta, em cartilha, a entidade.
No cadastro:
- Ao se cadastrar em alguma plataforma, avalie se o serviço necessita de todos os dados requisitados;
- Esteja atento às políticas de privacidade dos serviços que usa;
- Limite coleta de dados por cookies para o essencial e limpe frequentemente o histórico de navegação;
- Use conexões seguras para evitar que seus dados sejam interceptados e coletados.
Para aplicativos:
- Verifique a procedência de links enviados por e-mail;
- Limite quais funções um aplicativo pode acessar em seu aparelho móvel;
- Pergunte-se: esse serviço necessita do microfone, da câmera e da localização para funcionar?;
- Apague os aplicativos que você não usa mais.
Vale lembrar que a legislação brasileira permite que titulares dos dados – ou seja, a pessoa a quem as informações se referem – solicitem quais detalhes pessoais empresas e serviços armazenam. O passo a passo deve estar sinalizado pela entidade em um Portal do Titular.
Como posso denunciar vazamentos de dados?
Percebeu que uma empresa faz uso indevido dos seus dados pessoais? É possível denunciar para a ANPD. Nesse caso, o titular das informações deverá preencher uma petição de titular, disponível no site da entidade.
O primeiro passo, porém, é conversar diretamente com a empresa responsável antes da denúncia. A petição deverá ser enviada somente nos casos em que o pedido não tenha sido atendido ou que a resposta tenha sido insuficiente.
Agora, em episódios de incidentes de segurança como os mapeados pela plataforma Have I Been Pwned?, o processo é outro. A denúncia cabe às empresas e aos serviços afetados, de acordo com a Lei Geral de Proteção dos Dados Pessoais (LGPD). A notificação e a natureza do comprometimento devem ser formalizadas junto à ANPD.
Embora não seja o encarregado de comunicar os ocorridos, clientes afetados por vazamentos devem ser informados sobre a exposição até dois dias após o acontecimento.
No entanto, apenas 473 casos foram repassados para a agência até dezembro de 2022 – o que indica subnotificação. Segundo último relatório divulgado da entidade, o número fica abaixo do percebido em outros países: o Reino Unido, por exemplo, recebeu mais de 600 comunicações de incidentes cibernéticos por trimestre no mesmo período.
A indenização por exposição de dados ainda está em uma zona cinzenta da legislação, explica Rony. Nem todo ataque cibernético é automaticamente uma violação da LGPD ou implica em um dever de ressarcir o titular dos dados.
“Principalmente quando as empresas conseguem demonstrar que tinham um nível de maturidade adequado de segurança cibernética e proteção de dados bem como agiu de forma transparente em incidentes que possam trazer risco ou dano relevante aos seus clientes”, afirmou.
