vazamento de dados

No dia 3 de abril de 2016 foram publicas as primeiras notícias sobre aquele que é considerado o maior caso de violação de dados da história: Panama Papers.

O Panama Papers reúne 11.5 milhões de documentos (2.6 terabytes de dados) confidenciais pertencentes à banca de advocacia panamenha Mossack Fonseca. Para se ter uma ideia do que isso representa, 1 Gigabyte é proporcional a 1 metro de livros digitalizados, o que significa que o vazamento representa 2.600 metros de livros empilhados.

maior-vazamento-da-historia
Panama Papers é o maior caso de vazamento da história – maior do que os telegramas diplomáticos dos EUA divulgados pelo WikiLeaks em 2010, e os documentos de inteligência secretas entreuges aos jornalistas por Edward Snowden em 2013. (Fonte: The Guardian).

Políticos, banqueiros, empresários, multimilionários, celebridades do esporte, da cultura, dentre outros, tiveram suas atividades financeiras expostas ao público. Os danos à reputação da Mossack Fonseca, que tinha o dever de cuidado para com as informações dos seus clientes, são elevados.

panama-papers
Os documentos mostram ligações de 72 chefes de Estado que atualmente estão no poder ou que já ocuparam o cargo, incluindo ditadores acusados de saquear seus próprios países.

Depois de dias de especulação, o escritório de advocacia afirmou que os dados foram violados por hackers externos, descartando a possibilidade do vazamento ter sido fruto de um trabalho interno.

Ramon Fonseca, sócio- fundador da firma, disse:

“Descartamos uma ação interna. Isto não é um vazamento. Isto é um ataque hacker. Temos uma teoria e a estamos seguindo. Já fizemos queixa à Procuradoria-Geral, e há uma instituição governamental estudando o assunto.”1

Hoje sabemos que os documentos foram obtidos pelo jornal alemão Süddeutsche Zeitung2 a partir de uma fonte anônima. De acordo com o periódico:

“A fonte não queria nem compensação financeira nem qualquer outra coisa em troca, além de algumas medidas de segurança.”

Os documentos foram compartilhados com o Consórcio Internacional de Jornalistas Investigativos (ICIJ). O ICIJ, em seguida, compartilhou com a sua rede de parceiros internacionais.

Qual o significado do incidente para a cibersegurança?

Há sérias implicações do incidente para os indivíduos, organizações e nações envolvidas. Líderes mundiais estão sob suspeita. Investigações de possíveis atividades criminosas estão em curso3. A reputação da Mossack Fonseca está comprometida.

Mas qual o significado do incidente para a cibersegurança em todo o mundo?

Por pressuposto, cibersegurança refere-se à proteção de dados digitais – informações pessoais, informações financeiras, imagens, documentos e outros dados que podem estar armazenados em um dispositivo digital.

Na era digital, a maioria das transações e compartilhamento de informação, até mesmo a assinatura de um contrato, ocorrem por meio de dispositivos digitais, via transferências de arquivo ou e-mail. Hackers mal-intencionados usam meios ilegais para obter informações digitais, muitas vezes com o intuito de lucrar financeiramente. Outros agem impelidos por espírito público, têm uma postura altruísta e se julgam espécies de justiceiros do mundo digital.

As ações do denunciante anônimo, pelo que parece, ressoam com os princípios de combate à corrupção, revelando a atividade ilegal e imoral de políticos e de figuras públicas. Para mim, parece que estamos diante de um incidente que teve motivações ideológicas e políticas, caracterizando um caso de hacktivismo.

Os documentos que estão sendo divulgados foram obtidos de forma criminosa. Mas, diferentemente de Julian Assange do Wikileaks, o vigarista que seduziu bobocas ao redor do mundo, e que buscava parcerias com os jornais para dar aparência jornalística ao que, na origem, era criminoso, o ICIJ prefere agir de forma responsável.

“Ao censurar mais de 99% dos documentos, vocês estão empenhados em apenas 1% de jornalismo”, declarou o Wikileakes em sua conta do Twitter, criticando o ICIJ.

Gerald Ryle, diretor do Consórcio Internacional de Jornalistas Investigativos (ICIJ), rebateu, declarando à revista norte-americana Wired que os documentos não serão publicados online:

“Não somos o Wikileaks. Tentamos mostrar que o jornalismo pode ser feito de maneira responsável”4.

Vocês já devem ter percebido que delinquentes como Assange e Snowden, que são ícones do mundo geek e dizem ser defensores da liberdade, não me enganam. O primeiro mora na embaixada do Equador em Londres, país que deu asilo a ele para impedir sua extradição à Suécia, onde é acusado de crimes sexuais. O outro tinha planos de vir para a América Latina (Venezuela, Equador, Bolívia ou Nicarágua), mas acabou na Rússia, por razões óbvias. O  curioso é que nenhum destes países citados têm apreço pela democracia. Os cinco perseguem a imprensa livre e comandam regimes de força. Mas isso não vem ao caso agora.

Voltando. Gerald Ryle age corretamente. Liberar documentos, sem nenhum critério, põe em risco à privacidade dos clientes da Mossack Fonseca, especialmente aqueles que não cometeram atividade ilegal ou não ocupam cargos públicos.

O hacktivismo, inerentemente, não leva em conta o respeito às leis. Pergunto aos criminosos: a violação da privacidade de inocentes é um dano necessário em nome de um bem supostamente maior?

O fato é que o incidente Panama Papers aponta para uma realidade na qual nenhuma organização é uma ilha digital protegida. Todas, sem exceção, estão em risco. Outras mais, outras menos, é verdade. A Mossack Fonseca encarnou o risco cibernético que muitas organizações ainda não haviam notado.  Cibercriminosos visam muito mais do que cartões de crédito e informações financeiras. Travestidos de anjos cibernéticos cheios de boas intenções, alguns grupos de hacktivistas criminosos vislumbram, cada vez mais, vazamentos online, pois sabem muito bem o tamanho do impacto social e político que podem causar.

A exposição de informações sensíveis de clientes da Mossack Fonseca arruinou a sua reputação como empresa zelosa pela privacidade dos seus clientes. O escritório panamenho não seguia boas práticas de segurança. Os sistemas front-end, que apresentam as interfaces de interação com o usuário, como o website, estavam desatualizados e cheios de falhas de segurança. O Outlook Web Access não era atualizado desde 2009. O portal de acesso do cliente, construído em Drupal sofreu a última atualização em 2013, apresentando pelo menos 25 vulnerabilidades5.

Conclusão

O incidente Panama Papers aponta para uma realidade a qual nenhuma organização está a salvo. Toda organização carrega consigo própria riscos em potencial. Será cada vez mais difícil para elas lidarem com informações sensíveis e sobreviverem, caso não adotem boas práticas de cibersegurança. A segurança da informação deve olhar, não apenas para as forças externas, mas também para os inimigos de dentro das organizações.

Escritórios de advocacia, devido a sensibilidade das informações que detêm, correm grandes riscos de sofrer ataques cibernéticos. É uma ameaça real que deve ser enfrentada de maneira profissional. Clientes sofisticados são exigentes e preocupam-se com a segurança de seus dados nos sistemas dos escritórios de advocacia.

Infelizmente, na minha prática de consultor, observo que escritórios de advocacia e advogados, de maneira geral, negligenciam aspectos fundamentais da segurança da informação. Estão absolutamente focados nos problemas dos seus clientes. Alguns são até relutantes na implementação de melhores práticas ou deixam de fazer o basicão: realizar backups dos arquivos e instalar antivírus nos desktops e servidores. Backup com redundância e criptografia, então, raramente são usados.

A ALM Legal Intelligence fez um estudo interessante6 – o qual vale a pena ler se você tem ou trabalha em um escritório de advocacia – destacando que, se por um lado os ciberataques representam uma ameaça sem precedentes para a confidencialidade, que é a pedra angular das suas relações com os clientes. Por outro, os escritórios que investirem em cibersegurança poderão se distinguir em um mercado altamente competitivo, demonstrando compromisso com a segurança da relação advogado/cliente.

Referências:

  1. http://odia.ig.com.br/mundoeciencia/2016-04-07/fonseca-culpa-hacker-por-vazamento.html
  2. http://panamapapers.sueddeutsche.de/en/
  3. http://www.conjur.com.br/2016-abr-09/eua-podem-processar-envolvidos-panama-papers-usaram-dolar
  4. http://www.wired.com/2016/04/reporters-pulled-off-panama-papers-biggest-leak-whistleblower-history/
  5. http://www.wired.co.uk/news/archive/2016-04/06/panama-papers-mossack-fonseca-website-security-problems
  6. http://www.alm.com/press-room/cybersecurity-ignorance-is-big-risk-for-law-firms-corporate-counsel-alm-legal-intelligence-analysts-find/
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.