O que o vazamento de dados da Operação Lava Jato pode ensinar às empresas?

Garantir a proteção dos dados, tanto pessoais, quanto corporativos, é uma preocupação constante. E por bons motivos. Segundo dados da IDC, só no Brasil os ataques de hackers, vírus e ransomwares, entre outras pragas virtuais, geraram cerca de US$ 10 bilhões em prejuízo no ano passado, o que explica o fato de as empresas da América Latina terem aumentado seus investimentos em segurança da informação em 12% no último ano.

O recente vazamento de conversas entre o ex-juiz e atual ministro da Justiça Sérgio Moro e contatos como o promotor Deltan Dallagnol, entretanto, traz à tona outro viés, muitas vezes, negligenciado pelas empresas: a segurança das comunicações via dispositivos móveis e aplicativos, como WhatsApp e Telegram, protagonistas do caso envolvendo a alta cúpula da Justiça brasileira.

O fato, amplamente noticiado, leva a um debate importante, mas é preciso, antes de tudo, ressaltar que a brecha ocorreu não porque não havia segurança na Operação Lava Jato, mas sim porque os dispositivos corretos não foram utilizados. O então juiz Sérgio Moro não usou o TCS, telefone fornecido pela Abin (Agência Brasileira de Inteligência) e dotado de recursos avançados no que tange à privacidade das informações trafegadas. Assim como o presidente da República, Jair Bolsonaro, Moro optou por utilizar outro smartphone em suas comunicações, e, com isso, acabou ficando tão vulnerável à ação de hackers quanto um empresário comum.

Ou seja, não se trata de um ataque realizado a um dispositivo altamente seguro, de um hacker que quebrou controles militares de segurança dos quais civis não disporiam. Trata-se, antes, de autoridades que, apesar de terem à disposição recursos fortes de cibersegurança, optaram por fazer uso de soluções comuns.

Nada que justifique, vamos deixar muito claro que toda invasão é criminosa, errada, e não deveria jamais ser realizada. Isto posto, e sem tomar qualquer viés político, uma lição básica fica clara a partir deste caso: a segurança dos dados vai muito além dos sistemas internos das empresas, atinge a esfera dos dispositivos pessoais ou compreendidos em estratégias BYOD (Bring Your Own Device) e CYOD (Choose Your Own Device), e este é um caminho sem volta.

No caso da Lava Jato, o vazamento envolveu mensagens do Telegram, app russo conhecido por sua criptografia e segurança. Os desenvolvedores do aplicativo chegaram a se pronunciar na imprensa, alegando que não houve qualquer invasão ou ataque hacker sobre o sistema.

Em sua conta no Twitter, o aplicativo Telegram informou que “não há evidência de nenhum hack” no caso e que o mais provável é que o vazamento das conversas tenha se dado “por malware” ou pelo fato de “as pessoas não usarem sistema de verificação em dois passos”.

A explicação do Telegram não chega a ser uma surpresa. Um estudo da Flipside aponta que 58% dos ataques sofridos por empresas brasileiras são causados por falhas humanas, como cliques em malware, não verificação de senhas, uso de senhas fracas, entre outros erros.

É por isso que, além da tecnologia, as empresas também devem investir em políticas e práticas de segurança especializadas e comandadas por profissionais, com vistas a evitar ataques comportamentos de risco que possam ameaçar seus dados, seus clientes e seus negócios.

E quando se fala em gestão profissional de segurança, não se está falando de uma pessoa, especificamente, mas de equipes multidisciplinares, que somem conhecimento para assegurar que, de ponta a ponta, redes, sistemas, dados e operações estejam protegidos. Privacidade, proteção e conformidade de informações passam por um compilado de capacidades e tecnologias para se tornarem, de fato, efetivas.

A proteção de dados precisa se tornar parte da cultura organizacional, o que inclui trazer ferramentas como o WhatsApp e Telegram para dentro da estratégia. Por mais que aplicativos como estes possuam seus sistemas de criptografia, isso de nada adiantará se os usuários forem descuidados na gestão dos dispositivos, clicando em links suspeitos, aceitando contatos desconhecidos ou agindo de “N” outras maneiras que podem abrir a porta para ataques maliciosos cujos resultados nunca serão aprazíveis.

Tecnologia, gestão especializada de segurança, treinamento, adoção de uma cultura voltada à proteção dos dados. Este é o cenário ideal para toda empresa, privada ou pública. A segurança da informação deve estar no cerne das estratégias de negócio e isso vai do data center aos smartphones, sem pular nenhuma etapa, nenhuma pessoa, nenhum equipamento, sistema ou conteúdo.
Não é preciso temer os aplicativos – WhatsApp, Telegram e afins estão aí para facilitar a comunicação, e cumprem esta missão muito bem. Mas é necessário, sim, redobrar o cuidado ao tratar de informações potencialmente críticas. Agir de forma preventiva e contar com um excelente plano de reação, comandado por quem realmente domina o assunto, caso o pior aconteça.

Segurança da informação é compromisso de todos, o tempo inteiro, sem exceção.

A Future possui uma Solução de Conscientização Sobre Segurança da Informação. Para conhecê-la clique aqui!

Fonte: CIO.

Read More

Cerca de 500 milhões de usuários têm seus dados comprometidos por invasão no sistema de reservas da rede hoteleira Marriott

Cerca de 500 milhões de pessoas tiveram seus dados acessados ilegalmente após se hospedarem em hotéis da rede Marriott, entre os quais W, Sheraton e Westin.

A empresa hoteleira informou que hackers conseguiram “acesso não autorizado” ao sistema de reservas Starwood desde 2014, mas que o problema foi identificado apenas na semana passada. Os dados foram copiados e criptografados. A violação afetou clientes que fizeram reservas até 10 de setembro.

Segundo o Marriott, 327 milhões de pessoas tiveram expostos seus nomes, números de telefone, endereços de e-mail, números de passaporte, data de nascimento e informações de chegada e partida. Outro grupo expressivo teve seus números de cartões de crédito e respectivas datas de vencimento potencialmente comprometidos.

A rede Marriott, que relatou este incidente à polícia e continua a apoiar as investigações, destacou que as informações do cartão de crédito dos clientes estavam criptografadas, mas que era possível que os hackers também tivessem as informações necessárias para decifrá-las.

As vastas reservas de dados pessoais identificáveis disponíveis na Dark Web continuam a crescer a taxas históricas e os fraudadores têm muitos recursos para roubar identidades ou criar novas identidades sintéticas usando uma combinação de informações reais e inventadas, ou informações inteiramente fictícias. Por exemplo: os dados pessoais obtidos em uma violação poderiam ser cruzados com dados obtidos em outra violação e com outras violações amplamente divulgadas.

“A violação da Marriott apenas torna essa tarefa muito mais fácil e com maior probabilidade de sucesso. Ter os bancos de dados no mesmo lugar torna esse processo ainda mais simples para os malfeitores”, alerta Diretor de Regulamentação e Padrões Globais da OneSpan, líder global em segurança de identidade digital, transações seguras e produtividade para os negócios.

Para o executivo, “os ataques cibernéticos, como o da Marriott, continuarão e é imperativo que as organizações dos setores público e privado não apenas implantem as mais recentes tecnologias de detecção de fraude baseadas em autenticação e risco em suas organizações, mas também garantam que todos os parceiros tenham medidas de segurança cibernética”, conclui Michael Magrath.

Fonte: CryptoID.

Read More

Os impactos do GDPR e da LGPD na estratégia de segurança da informação

O ano de 2018 será conhecido como um divisor de águas para a segurança da informação mundial. Em maio, entrou em vigor na União Europeia o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – GDPR). A diretriz é que as empresas locais e, também, as que tenham relações comerciais com a região, realizem a coleta e tratamento de informações apenas com o consentimento explícito do usuário. Pouco tempo depois, em agosto, foi a vez de o Brasil seguir a onda, com a Lei Geral de Proteção de Dados (LGPD) sendo sancionada pelo presidente Michel Temer. A norma passa a valer em fevereiro de 2020 e possui diretrizes similares ao documento europeu.

As exigências recaem direta e primeiramente na área de compliance, que deve ser responsável por garantir que todos os departamentos e stakeholders sigam as determinações: pedir a autorização da coleta de dados para cada cliente; apontar o objetivo do recolhimento; usá-los para o objetivo descrito; e aceitar a autonomia de o usuário solicitar esclarecimentos ou a exclusão dos dados coletados. Além disso, as empresas são declaradamente responsáveis pela proteção das informações dos clientes e, em caso de vazamentos ou erros de utilização, têm a obrigação de comunicar os atingidos em até 72 horas. As multas pelo descumprimento das exigências na LGDP, por exemplo, chegam a até R$ 50 milhões, ou 2% do faturamento do grupo econômico.

A partir de agora, clientes podem exigir que as empresas detalhem quais informações pessoais são coletadas, e para qual fim. O que todo o consumidor, seja ele pessoa física ou jurídica, quer, é garantir que os dados cedidos ao seu fornecedor não saiam do perímetro corporativo. No segmento B2B, já vejo hoje, clientes interessados em atuar como auditores de seus fornecedores, como medida cautelar vinda de uma crônica falta de confiança. Com a regulamentação, o que seriam pedidos esparsos tendem a se tornar exigências recorrentes, o que vai demandar a criação de processos, adoção de ferramentas e construção de mecanismos que atendem a essas solicitações.

Não há segredo: para que os dados sejam protegidos de maneira integral é necessário um investimento em tecnologias de segurança da informação. Mas isso não é o bastante: como citei anteriormente, qualquer ação deve partir de uma política clara, bem fundamentada e amplamente comunicada internamente por compliance. Invariavelmente, os processos terão de estar muito bem amarrados. Uma outra estratégia importante é a contratação de hackers que trabalhem para a empresa buscando vulnerabilidades antes que invasores mal-intencionados o façam.

Especialmente com LGPD e GDPR, o sucesso da estratégia de segurança da informação está na antecipação de brechas e prevenção de ocorrências mais graves.

Mais um fator que não pode ser ignorado é a companhia contar com profissionais de segurança da informação certificados e atualizados, que sigam padrões internacionais e realizem reuniões mensais para acompanhamento de trabalho e melhoria – inclusive junto da diretoria. A partir de agora, a garantia de proteção e integridade dos dados não será uma tarefa somente de um departamento ou estará centralizada em uma figura, como o Chief Security Officer: é essencial que permeie todos os departamentos da empresa, em especial aqueles que se relacionam diretamente com os clientes e seus dados.

Mas não há motivos para reclamar nem do GDPR, nem da LGPD. Adequar-se às exigências dá trabalho e exige investimento de recursos – seja de tempo ou financeiro -, mas é uma atividade importantíssima para elevar o nível de transparência e até mesmo maturidade das organizações. Afinal, garantir a segurança da informação da carteira de clientes pode, até então, não ter sido obrigatório – mas sempre foi uma atitude estratégica e de extremo bom senso para companhias que querem ter credibilidade em seu ecossistema.

Quer adequar sua empresa ao GDPR ou LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: Infor Channel.

Read More

Entenda as maiores ameaças digitais da atualidade e saiba como se proteger

Com o mundo cada vez mais digital, o cibercrime ganha força a cada ano como uma das modalidades de crimes que mais podem trazer prejuízos tanto a indivíduos quanto para empresas. Diante dessa situação, é importante saber exatamente como funciona cada uma das ameaças e a forma correta de se proteger.

Uma das ameaças mais comuns, tanto para empresas quanto para o indivíduo comum é o phishing. Caso você não conheça o termo, ele vem da palavra “fishing” que é “pesca” em inglês, justamente porque envolve a prática de jogar uma isca e esperar que alguém caia nessa armadilha.

As técnicas têm se tornado cada vez mais refinadas. Antigamente o cibercriminoso disparava uma infinidade de e-mails na esperança de fisgar um usuário descuidado, mas os ataques estão cada vez mais direcionados e bem pensados para tornar cada vez mais difícil a distinção do que é uma mensagem falsa e do que é verdadeiro.

Durante apresentação na Quickbooks Connect, evento de tecnologia voltado para contadores que aconteceu em San Jose, no Vale do Silício, o especialista Byron Patrick demonstrou como esses ataques estão ficando cada vez mais avançados. O exemplo dado foi de uma empresa que começou a receber e-mails com notas fiscais em um formato idêntico ao de seus fornecedores, mas com detalhes de pagamento diferentes. Alguém estava tentando aplicar um golpe na empresa, obviamente.

Patrick explica que a técnica envolvia um duplo ataque: primeiro, o criminoso precisou obter descobrir o formato padrão das notas fiscais, o que pode ser obtido por meio de um ataque de phishing ao fornecedor. Depois foi necessário contatar a empresa com as notas falsas com instruções de pagamento para uma conta controlada por ele. A técnica é eficiente porque dependendo do tamanho da companhia, esse tipo de ordem de pagamento chega aos montes e são tão comuns que os funcionários sequer pensam duas vezes antes de proceder.

O phishing é um problema complexo para o usuário comum, porque não há recomendação melhor do que “tenha bom senso” e não clique em links ou pague coisas que não estava esperando. Para empresas, existem algumas medidas úteis: é possível conscientizar funcionários sobre as melhores práticas para evitar essas armadilhas e até mesmo realizar testes de tempos em tempos simulando situações de phishing para ver se eles conseguiram absorver as técnicas de proteção.

Ransomware

O ransomware já é uma indústria bilionária e, com justiça, já é considerado a principal ameaça para usuários e empresas pelo seu poder de devastação. Um ataque bem-sucedido que venha atingir uma rede despreparada tende a causar prejuízos gigantescos, podendo também resultar na perda de dados importantes.

Caso você não esteja familiar com o conceito de ransomware, trata-se de um tipo de vírus que realiza uma ação bastante específica. “Ransom” em inglês significa “resgate” no sentido de pagar uma quantia para resolver um sequestro. Assim, o intuito desse vírus é sequestrar arquivos do computador com criptografia, tornando os PCs inúteis, e a chave para decifrar os documentos só é fornecida por meio de pagamento.

Um exemplo triste citado por Byron Patrick é o de um hospital nos EUA. Um dia, um funcionário abriu um arquivo malicioso recebido por e-mail; pouco tempo depois, toda a rede estava infectada pelo malware Locky, que criptografou todos os arquivos. As atividades do hospital tiveram que ser paralisadas por 10 dias: cirurgias precisaram ser remarcadas, pacientes precisaram ser transferidos e, no fim das contas, além do prejuízo envolvido na operação interrompida, o hospital ainda teve que pagar US$ 17 mil em bitcoins para recuperar seus arquivos.

A melhor forma de proteção contra o ransomware é manter sempre um backup isolado e protegido justamente para ter para onde correr quando tudo der errado. Manter o antivírus atualizado também ajuda a evitar esse tipo de situação, mas muitas vezes esses malwares acabam passando despercebidos pelos softwares de proteção, então a precaução é a melhor solução. Para empresas, a contratação de seguros contra cibercrimes também pode ser uma alternativa a ser considerada.

Invasão por quebra de senha

Quando se fala em segurança, infelizmente a gestão de senhas costuma ser um dos pontos de vulnerabilidade de muitas pessoas e empresas. O cibercrime está cada vez mais eficiente em quebrar senhas por meio de força bruta ou às vezes até mesmo adivinhá-las utilizando algumas técnicas de coleta de informações.

Vamos supor que sua senha seja o nome do seu cachorro. Você pode até achar que isso é seguro porque ninguém mal-intencionado sabe o nome do Tobias. Mas se você não esconde essa informação das suas redes sociais, sua senha está exposta para qualquer um que queira descobrir. E um hacker certamente vai tentar digitar “tobias” no campo de senhas quando tentar invadir sua conta de emails. Hoje, no entanto, esse trabalho é feito por bots, que são capazes de vasculhar toda a vida digital de alguém atrás de pistas sobre senhas.

O cuidado com uma senha forte é ainda mais importante em empresas, onde os danos podem ser gravíssimos. Patrick conta o caso de uma companhia que teve toneladas de dados copiados de sua rede sem permissão porque o administrador decidiu que era uma boa ideia usar a senha “id10t”. Os primeiros sinais de problema foram notados quando, numa sexta-feira, os usuários começaram a reclamar de que a rede estava lenta; o problema foi “solucionado” com um reboot simples, mas na segunda-feira a lentidão havia retornado. Quando a questão foi avaliada mais de perto, o motivo ficou evidente: a rede estava congestionada porque alguém estava baixando terabytes de informações sigilosas para fora da companhia justamente por causa da senha fraca do administrador.

Uma solução para lidar de forma mais inteligente com senhas é ter um gerenciador como LastPass e 1Password, que permitem cadastrar senhas gigantescas e ultradifíceis sem a necessidade de decorá-las. Também é recomendável usar autenticação em duas etapas sempre que possível; apps como o Google Authenticator ou Microsoft Authenticator ajudam bastante nesse quesito. Também é bom observar: a opção por receber códigos de autenticação via SMS é melhor do que nada, mas está longe de ser a alternativa mais segura porque é plenamente possível tomar o controle do seu número de telefone por meio de técnicas que já detalhamos neste link, então prefira outros métodos sempre que possível.

Vazamentos de dados?

Uma situação interessante é que nem sempre o vazamento de dados é fruto de um ataque hacker, mas que ainda assim pode ser considerado uma ação criminosa. Um dos exemplos dados por Patrick foi de um funcionário que, no seu último dia de trabalho em uma empresa, baixou dados de todos os clientes para impulsionar seu novo emprego. Isso é ilegal e é considerado um vazamento, o que fez com que sua antiga empresa precisasse oferecer garantias e reparos de danos aos seus clientes.

Nem sempre isso é feito de forma maliciosa: às vezes um funcionário baixa dados para um notebook pessoal para trabalhar em casa. O problema é que se o notebook cai nas mãos erradas, isso também se torna um vazamento.

Para evitar esse tipo de situação em empresas, as únicas formas de prevenção são a clareza nas políticas de uso de dados e a imposição de todos os tipos de barreiras possíveis contra esse tipo de transferência de arquivos indesejada. A nuvem também vem ajudar bastante neste sentido, já que os dados passam a ser acessíveis por dispositivos em quaisquer lugares do mundo sem a necessidade de a realização de novas cópias, dando mais controle sobre quem pode ver o quê.

Quer proteger sua empresa? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: Olhar Digital.

Read More

Ministério Público abre investigação sobre vazamento de dados da Stone

O Ministério Público do Distrito Federal e Territórios (MPDFT) abriu nesta terça-feira investigação para acompanhar as consequências do vazamento de dados da Stone, empresa de meios de pagamento.

Há duas semanas, a Stone enviou um informe para a SEC, Comissão de Valores Mobiliários americana, dizendo que havia sofrido um ciberataque com vazamento de informações e chantagem.
“Em 23 de outubro de 2018, percebemos que um indivíduo ou indivíduos divulgaram partes de códigos-fonte não materiais do software usado no sistema PSP Pagar.me e na plataforma Stone Pagamentos. […] Conectado à publicação inicial, recebemos a demanda por dinheiro e continuamos a receber essas demandas para evitar uma divulgação adicional”, afirmava a nota.
No documento, o promotor de Justiça Frederico Meinberg Ceroy afirmou que é responsabilidade do MPDT incentivar a proteção de dados pessoais, bem como levar a população, empresas e órgãos públicos o conhecimento de normas e políticas a respeito do assunto.

Ainda segundo ele, o órgão deve “recomendar, diante da gravidade do incidente de segurança, ao responsável pelo tratamento dos dados a adoção de outras providências”. Ele cita como medidas a comunicação aos titulares e a ampla divulgação do fato em meios de comunicação para reverter ou mitigar os possíveis efeitos do incidente.

Com a autuação, a empresa de pagamentos será requisitada a prestar mais informações sobre o vazamento.

A Stone informou que não foi formalmente notificada pelo Ministério Público do Distrito Federal e Territórios. “Gostaríamos de esclarecer que não há indícios de nenhum acesso, divulgação ou utilização de dados, informações pessoais de nossos clientes ou qualquer tipo de acesso à nossa infraestrutura ou efeito em nossas operações. Não temos nenhuma evidência de que foram acessados códigos-fonte materiais ou que tenha havido qualquer invasão a nossos sistemas”, informa a empresa em nota.

A Stone diz ainda que fez o comunicado ao mercado e às autoridades competentes. “Tão logo a companhia seja notificada formalmente sobre a investigação do MPDFT, será do nosso melhor interesse apresentar informações sobre o incidente.”

Fonte: Veja.

Read More

Fifa sofre novo ataque hacker e teme vazamento de dados

Os sistemas de computadores da Fifa (Federação Internacional de Futebol) foram hackeados novamente e a entidade está preparada para vazamentos mais danosos de informações confidenciais.
Autoridades da Fifa admitiram o ciberataque sofrido e teme que uma série de matérias seja prontamente publicada com base em um conjunto de documentos internos que foram originalmente obtidos pelo site Football Leaks em 2015.

O órgão emitiu uma declaração condenando “quaisquer tentativas de comprometer a confidencialidade, integridade e disponibilidade de dados em qualquer organização usando práticas ilegais”. O presidente da Fifa, Gianni Infantino, disse à Associated Press que os meios de comunicação contataram a organização sobre vazamentos de informações que receberam.

“As perguntas que recebemos, respondemos”, disse ele. “Meu trabalho envolve discussões, conversas, trocas de documentos, rascunhos, idéias, em muitos, muitos, muitos, tópicos, senão você não vai a lugar algum.”

“Quero dizer, se eu tiver que ficar no meu quarto e não falar com ninguém e não puder fazer nada, como posso fazer meu trabalho adequadamente? Então se isso está sendo retratado como algo ruim, acho que não há muito que eu possa fazer mais do que o meu trabalho de maneira honesta, profissional e tentando defender os interesses do futebol”, adicionou Infantino.

Uma campanha de phishing é a principal causa suspeita do hack, que ocorreu em março, meses depois de a entidade ter sido vítima de outro grande ataque cibernético, que levou o grupo russo de hackers Fancy Bears a vazar detalhes de testes de drogas fracassados ​​por jogadores de futebol.

Medidas preventivas

Tim Sadler, cofundador e CEO da startup de segurança de e-mail Tessian, disse que o hack parece ser o resultado de um esquema clássico de phishing que enganou um funcionário despretensioso.

“Dentro de uma organização que emprega milhares de pessoas como a FIFA, existem milhares de vulnerabilidades humanas para os atacantes mirarem e explorarem e enormes quantidades de dados altamente valiosos para exfiltrar”, disse ele.

“Para minimizar o risco de ser vítima deste ataque de phishing – e qualquer outro tipo de tentativa de phishing – é importante que os funcionários da Fifa sejam céticos e vigilantes. Em outras palavras, eles devem ser alvo de fraudadores e responder tratando qualquer solicitação para informações ou pagamento em sua caixa de entrada como suspeitas, particularmente no rescaldo dessa violação.

“Também é importante que os funcionários sejam treinados sobre as características de um esquema de phishing, como eles operam e como eles podem impactar financeira e reputacionalmente sua organização. No entanto, como a Fifa foi hackeada duas vezes este ano, e golpes de phishing em ascensão e provando cada vez mais eficaz, a vigilância por si só não é suficiente.”
Sadler argumentou que o melhor meio de defesa é usar ferramentas de machine learning que analisam padrões de comportamento em e-mails e detectam anomalias que sugerem uma tentativa de comprometimento.

Tony Pepper, CEO da Egress Software, ecoou os apelos de Sadler para mitigar tais riscos por meio do uso de machine learning e expressou simpatia pela defesa de Infantino.

“Quando questionado sobre a violação, o presidente da Fifa explicou que a troca de documentos, rascunhos e ideias é fundamental para o seu trabalho, e acho que todos podemos relacionar”, disse Pepper.

“Na verdade, muito poucos dados permanecem em um banco de dados ou em um único servidor. Ao compartilhar documentos contendo informações confidenciais, a primeira coisa que deve ser feita é criptografar e-mails e anexos em trânsito e em repouso na caixa de correio e adicionar autenticação de fator e controles de política quando segurança adicional também é necessária.”

Mudanças simples

Simon McCalla, CTO da Nominet, órgão que registra domínios on-line no Reino Unido, acrescentou que mudanças simples em processos e sistemas apoiados por treinamento e educação podem ter impedido a violação.

“Para reduzir o risco de usuários clicarem nos domínios ‘próximos a’ usados ​​- como a substituição de john@fifa.com por john@fi-fa.com – a implantação de um sistema anti-phishing robusto ajudará absolutamente, mas você não pode dependem apenas de sistemas de defesa “, disse ele

“É importante conscientizar os usuários sobre os perigos do phishing e como identificar e-mails suspeitos também. Também é essencial incutir uma cultura de segurança, onde os funcionários são encorajados e habilitados a verificar qualquer coisa sobre a qual não tenham certeza”, completou McCalla.

Proteja-se contra ataques cibernéticos! Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: ComputerWorld.

Read More

Reino Unido multa Facebook em R$ 2,3 milhões por violação de privacidade

O órgão regulador de informação do Reino Unidos (Information Comissioner’s Office) multou o Facebook em R$ 2,3 milhões pela violação da privacidade de usuários no escândalo do vazamento de dados para a empresa de marketing digital britânica Cambridge Analytica, informou nesta quinta-feira, 25, a Agência Brasil. O episódio ganhou visibilidade depois que veículos de mídia do Reino Unido revelaram o uso indevido das informações, inclusive em processos eleitorais, como a disputa presidencial dos Estados Unidos em 2016.

O órgão abriu a investigação em julho e ao longo do processo, foram analisadas evidências e a empresa apresentou suas explicações. Ao final, o ICO decidiu manter a multa no nível possível no momento do fato.

A apuração confirmou as denúncias feitas. Entre 2007 e 2014, o Facebook permitiu o acesso a informações pessoais por desenvolvedores de aplicativos sem consentimento dos usuários. Entre esses, estavam testes comuns. O app adotado para coletar as informações repassadas à Cambridge Analytica foi um teste de personalidade, de autoria de um cientista chamado Aleksandr Kogan.

Na avaliação do órgão, o Facebook violou o direito à proteção de dados de seus usuários e falhou também por não ter garantias suficientes de como tais informações seriam usados por esses desenvolvedores.

Em nota à Agência Brasil, o Facebook disse que estava “revisando a decisão do ICO”, mas discordava de algumas de suas descobertas e agradeceu ao órgão britânico por ter reconhecido sua “total cooperação durante a investigação”.

Fonte: Terra.

Read More

Blockchain pode revolucionar sistema eleitoral brasileiro

Criado inicialmente para garantir segurança de transações com o bitcoin, o blockchain está sendo aprimorado e utilizado em diversos setores, nos quais mostrou um ótimo desempenho em relação à proteção e transparência de dados. No caso do sistema eleitoral, a tecnologia também não deixa a desejar. Alguns países, como Estados Unidos, Dinamarca e Austrália já possuem projetos pilotos para o uso do blockchain para a votação. No Brasil, a Associação Brasileira de Fintechs (ABFintechs), por exemplo, decidiu escolher sua nova diretoria utilizando a ferramenta.

Segundo Tatiana Revoredo, especialista em blockchain, não é à toa que governos e instituições estão optando pelo uso da tecnologia em seus sistemas de votação. Para ela, o uso da ferramenta seria uma alternativa segura para a apuração eleitoral, inclusive no Brasil, encerrando a desconfiança e questionamentos a respeito das urnas eletrônicas.

“A adoção de um sistema de votação por blockchain reduziria possíveis fraudes eleitorais, erros na contagem de votos e, acima de tudo, a desconfiança da população, que poderia acompanhar todo o processo eleitoral, em tempo real”, completa.

Na prática, essa confiança é garantida por meio de uma combinação de hashing sequencial (espécie de impressão digital de um dado) e criptografia, em conjunto com a estrutura distribuída do blockchain. Dessa forma, ele protegeria a identidade dos participantes da rede e ao mesmo tempo possibilitaria a verificação de todas as transações realizadas em sua plataforma.

“Isso assegura o desenvolvimento de mecanismos de votação extremamente seguros e transparentes, permitindo o acompanhamento das eleições voto a voto”, explica Tatiana.

Além disso, votar usando o celular ou um computador pessoal também é um dos benefícios que a aplicação da tecnologia no sistema eleitoral pode trazer. Rodrigo Borges, que é advogado e especialista em blockchain, confirma que isso abriria a possibilidade de criar um sistema eleitoral no universo blockchain, eliminando intermediários e, consequentemente, aumentando a rapidez de todo o processo.

“A tecnologia permite criar um sistema de votação blockchain e ele pode ser acessado seja por celular, à distância ou presencialmente”, explica.

Sobre as críticas e suspeitas a respeito do sistema eleitoral adotado pelo Brasil hoje, Rodrigo afirma que o blockchain seria a chave para liquidar com esse problema.

“O sistema de votação brasileiro é constante alvo de desconfianças, tanto pela ausência de transparência, quanto por estar sujeito a um ente central que comanda isoladamente todo o sistema”, justifica o especialista.

“O blockchain acabaria com esses dois pontos, uma vez que o caráter distribuído impediria o controle isolado do sistema, além de garantir transparência, porque qualquer cidadão seria capaz de acompanhar o processo eleitoral. Por exemplo, se ele votar em determinado candidato, é possível verificar se de fato o seu voto foi computado para o candidato escolhido”, finaliza.

Para os especialistas em blockchain Rodrigo Borges e Tatiana Revoredo, o uso da tecnologia garantiria segurança e transparência nos processos eleitorais.

Fonte: Canal Tech.

Read More

Dados de 30 mil funcionários do Pentágono foram expostos

O Departamento de Defesa dos Estados Unidos revelou que sofreu um vazamento de dados que afetou cerca de 30 mil funcionários. O vazamento se concentrou nos registros de viagens e comprometeu informações pessoais e dados de cartões de créditos tanto de militares quanto do pessoal civil.

Segundo a AP News, a questão ainda está em investigação e o vazamento pode ser maior do que os 30 mil reportados. Apesar disso, uma fonte do Pentágono afirma que nenhum documento confidencial vazou.

“É importante entender que isso foi uma violação de um único fornecedor comercial que realizou serviços a uma porcentagem muito pequena de nosso pessoal. O Departamento continua a avaliar o risco de danos e garantirá que as notificações sejam feitas ao pessoal afetado”, comentou Joseph Buccino, porta-voz do Pentágono.

Na semana passada, é válido notar, o Departamento de Defesa dos Estados Unidos afirmando que, só agora, “está começando a se dar conta da amplitude das vulnerabilidades” no armamento do país. O relatório aborda o atraso do Pentágono no que toca cibersegurança, além das dificuldades para recrutar especialistas.

Quer proteger seus dados? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: Tecmundo.

Read More

Europa já tem mais de 500 investigações GDPR abertas

Menos de cinco meses depois da entrada em vigor do Regulamento Geral de Proteção de Dados (GDPR) na Europa, o conselho que supervisiona a aplicação da legislação tem mais de 500 investigações abertas. Foi o que revelou hoje a presidente do Conselho Europeu de Proteção de Dados, Andrea Jelinek, durante uma audiência sobre privacidade no congresso norte-americano.

“O conselho já está trabalhando em bastantes casos”, indicou a presidente, que esteve na audiência para falar da experiência europeia numa altura em que se discute a introdução de legislação semelhante nos Estados Unidos.

De acordo com a responsável, estão correndo 272 casos de identificação da autoridade primária de supervisão, 243 casos de assistência mútua (de acordo com o artigo 61º do GDPR), e 23 casos de monitorização de impacto. Em termos de queixas dos consumidores, que dispararam nos últimos meses, Jelinek disse que a maioria se refere a questões de “consentimento.” Os dados são referentes ao período entre 25 de maio e 1 de outubro.

O supervisor Giovanni Buttarelli tinha dito à Reuters no dia anterior que as primeiras multas serão aplicadas no final do ano e vão afetar empresas e administrações públicas. Hoje, no congresso americano, Andrea Jelinek revelou que o regulador irlandês, Data Protection Commission, “já está investigando” o novo caso de violação de dados pessoais da rede social Google+, que ficou conhecido esta semana. No entanto, as investigações que estão correndo contra Google, Facebook, WhatsApp e Instagram ainda não serão decididas, dado o estado preliminar dos processos.

“A maioria das empresas estava se preparando bem antes da entrada em vigor”, disse Jelinek aos congressistas norte-americanos. “Tiveram mais de dois anos. O dia 25 de maio não foi o fim da preparação, mas o princípio.”

Isto porque vários legisladores levantaram dúvidas quanto ao método da Comissão Europeia, que optou por um regulamento obrigatório em vez de uma diretiva. Mas Jelinek lembrou que já havia um enquadramento de proteção de dados desde os anos 90. “O GDPR não foi uma revolução, mas a evolução de uma lei que já existia”, sublinhou.

Luta entre Califórnia e governo federal

A audiência do Comitê para o Comércio, Ciência e Transportes foi dedicada a esgrimir argumentos entre duas fações opostas, depois de a Califórnia ter passado a legislação de proteção de dados mais rigorosa do país, CCPA (California Consumer Protection Act). A lei vai entrar em vigor no início de 2020 mas está sendo muito contestada pelas grandes empresas que serão afetadas, incluindo as gigantes de Silicon Valley. O apertar do cerco relativo à privacidade e consentimento dos consumidores só afetará empresas com receitas anuais a partir de 25 milhões de dólares, uma medida que foi desenhada para não liquidar startups e pequenas empresas.

O problema é que a Câmara de Comércio do congresso não quer esta lei e pretende aprovar uma legislação ao nível federal, que imponha as mesmas regras para todos os Estados – exatamente como foi feito na União Europeia com o GDPR. Os críticos de tal ideia defendem que uma lei federal será mais fraca que as medidas aprovadas pela CCPA e que o tipo de empresas sediadas em cada Estado difere muito. É na Califórnia que se encontram as grandes empresas que lidam com maiores volumes de dados sensíveis dos consumidores.

A audiência teve ainda o testemunho de Alastair Mactaggart, presidente da organização Californians for Consumer Privacy, Laura Moy, diretora executiva e professora adjunta de Direito no Georgetown Law Center on Privacy & Technology e Nuala O’Connor, presidente do Center for Democracy & Technology.

Na audiência foram referidos várias vezes os casos recentes de vazamento de dados do Facebook e Google como mais uma prova de que isto não pode continuar sendo deixado a critério das grandes empresas. Mas Nuala O’Connor lembrou um fato que obriga a pensar de forma mais abrangente neste tema. “A Cambridge Analytica era uma pequena startup”, referiu. “Não se pode desvalorizar o impacto até de pequenas empresas com acesso a conjuntos grandes e sensíveis de dados.”

Fonte: Dinheiro Vivo.

Read More

Vazamento de dados de meio milhão de contas e inatividade faz Google encerrar Google+

A rede social do Google, Google+, foi afetada por uma falha que expôs dados pessoais de meio milhão de contas, disse, na segunda-feira (8), a gigante da internet, ao mesmo tempo em que anunciou medidas para proteger as informações dos internautas e o encerramento da Google+ até o ano que vem.

Em março, durante uma auditoria de segurança interna da Google+, no qual as pessoas com uma conta do Gmail costumavam ser vinculadas automaticamente até setembro de 2014, o grupo com sede em Mountain View, Califórnia, nos Estados Unidos, descobriu uma falha que diz ter corrigido “imediatamente”.

Os nomes dos proprietários das 500 mil contas, endereço de e-mail, profissão, gênero e idade foram os principais dados expostos, assegura a Google em seu site. Os dados publicados pelos usuários, assim como mensagens, informação da conta Google e números de telefone não foram vistos ou consultados, acrescenta o grupo, argumentando que não se pode ter certeza dos usuários atingidos pela falha, nem sua localização.

Além de meio milhão de contas, até 438 aplicativos podem ter sido afetados por essa falha de segurança, que a Google não disse quanto tempo durou. Os desenvolvedores de aplicativos desconheciam a vulnerabilidade, afirma a companhia, e portanto não usaram os dados expostos: “Não encontramos evidência de que os dados tenham sido usados de maneira inadequada”.

O Google não explicou se esta falha de segurança é fruto de hackers nem o motivo pelo qual esperou meses para divulgar esta informação. Segundo o Wall Street Journal, os executivos do grupo temiam chamar a atenção dos reguladores e ser alvo de um tratamento como o que foi dado ao Facebook após o escândalo da Cambridge Analytica. Esta empresa britânica é acusada de ter reunido e utilizado sem consentimento os dados pessoais dos usuários da rede social americana com fins políticos.

— Cada vez que os dados de um usuário são afetados, fazemos mais do que a lei exige e aplicamos vários critérios para determinar se devemos notificá-los — disse um porta-voz da Google à AFP.

Neste caso, a companhia justificou seu silêncio com a natureza da informação que foi exposta, o fato de que não foi constatado o uso inapropriado dos dados e que não foi possível determinar com precisão quais usuários informar.

Novas medidas

A rede social Google+ conta com milhões de usuários e é utilizada, principalmente, por profissionais que estão interessados em temas específicos e podem ver as atualizações de seus contatos por meio dos “círculos”.

Os círculos são grupos de contatos criados pelo usuário de acordo com os critérios de sua escolha: interesses, categorias de clientes, relações etc., e dentro dos quais se pode decidir o conteúdo que irá compartilhar. Google+ foi adotado rapidamente pelas empresas, mas o Google afirma ter encontrado uma grande inatividade entre os participantes e, por isso, a versão da rede social para o público em geral deixará de funcionar. Para isso, será implementado um sistema de encerramento por um período de 10 meses, com conclusão prevista para o final de agosto próximo. “Nos próximos meses, forneceremos informações adicionais aos consumidores, incluindo formas de fazer download e migrar seus dados”, disse a empresa.

A gigante da internet anunciou novas medidas para que os usuários tenham um maior controle sobre seus dados, que se tornarão efetivas neste mês para os novos usuários e no início de 2019, para os antigos.

Os desenvolvedores de aplicativos deixarão de ter acesso aos dados relacionados com as mensagens SMS enviadas ou recebidas pelos telefones que executam o sistema operativo Android e às ligações recebidas, e contarão com acesso limitado à sua lista de endereços.

Além disso, os usuários passarão a receber solicitações individuais para autorizar o acesso aos dados dos diversos serviços do Google que utilizam.

Em comunicado em seu blog, o Google ressaltou que “Google+ é mais adequado como um produto corporativo, em que os colegas de trabalho podem participar de discussões internas em uma rede social corporativa segura. Os clientes corporativos podem definir regras de acesso comuns e usar controles centrais para toda a organização. Decidimos concentrar nossos esforços empresariais e lançar novos recursos criados especificamente para empresas. Compartilharemos mais informações nos próximos dias”.

Fonte: GZH.

Read More

Receba conteúdos exclusivos