ESPECIAL //
28 PRINCIPAIS CASOS DE VAZAMENTOS DE DADOS DA HISTÓRIA.
Núcleo Direito Digital / Lara Martins Advogados / Autoria: Nycolle Soares
28 de Janeiro – Dia Internacional da Privacidade de Dados.
Dia 28 de Janeiro é comemorado o Dia Internacional da Proteção de Dados, uma data que reforça a importância da proteção de direitos fundamentais de liberdade e privacidade relacionados ao uso de dados pessoais.
Ainda assim, mesmo com o Regulamento Geral sobre a Proteção de Dados (GDPR), na Europa, e com a Lei Geral de Proteção de Dados (LGPD), no Brasil, empresas ainda abusam de dados de clientes e usuários, seja coletando dados sigilosos e que deveriam ser totalmente pessoais, como também os armazenando em servidores vulneráveis, vazando, vendendo e até trocando com outros estabelecimentos.
Para destacarmos a relevância desta data, separamos abaixo os 28 casos mais conhecidos de vazamento de dados pessoais da última década:
1 – Carolina Dieckmann – Em maio de 2011, um hacker (criminoso virtual) invadiu o computador pessoal da atriz, possibilitando que ele tivesse acesso a 36 fotos pessoais de cunho íntimo. De acordo com a denúncia, o invasor exigiu R$ 10 mil para não publicar as fotos. Como a atriz recusou a exigência, acabou tendo suas fotos divulgadas na internet. Isso criou uma grande discussão popular sobre a criminalização desse tipo de prática, que ainda foi excessivamente fomentada pela mídia. A atriz abraçou a causa e cedeu seu nome à Lei nº 12.737/2012, o primeiro texto que tipificou os crimes cibernéticos, tendo foco nas invasões a dispositivos que acontecem sem a permissão do proprietário.
2 – LinkedIn – Em junho de 2012, a rede social LinkedIn sofreu uma invasão que expôs os dados pessoais de mais de 117 milhões de usuários. Além de permitir o acesso a senhas, o vazamento expôs dados pessoais como endereço de e-mail e nome de usuários.
3 – Evernote – Em março de 2013, os sistemas do aplicativo de texto Evernote sofreu uma invasão que resultou do acesso não-autorizado a nomes de usuários, endereços de e-mail e senhas associadas às contas dos usuários da plataforma da empresa.
4 – Yahoo – Em agosto de 2013, após sofrer uma invasão, o site Yahoo informou o vazamento de dados como nome, telefone, data de nascimento e senha de 3 bilhões de usuários.
5 – Facebook/Cambridge Analytica – Em 2014, a Cambridge Analytica valeu-se de informações básicas (nome, profissão, cidade) e de hábitos e preferências políticas de 50 milhões usuários do Facebook para a realização não autorizada de testes comportamentais, que futuramente foram utilizados na campanha presidencial do ex-presidente do EUA, Donald Trump, e na votação do Brexit.
6 – eBay – Em maio de 2014, um vazamento de dados expôs as contas de 145 milhões de usuários (nomes, endereços, datas de nascimento e senhas criptografadas) da eBay, uma das maiores empresas de comércio eletrônico do mundo. Segundo a empresa, hackers usaram as credenciais de três funcionários para acessar sua rede e tiveram livre acesso ao banco de dados dos usuários por 229 dias.
7 – Departamento de Imigração da Austrália – Em novembro de 2014, os dados pessoais dos líderes dos países que compõem o G20, tais como Barack Obama (EUA), Vladimir Putin (Russia), Angela Merkel (Alemanha) e Xi Jinping (China), foram expostos a partir de um acidente que ocorreu no Departamento de Imigração australiano. No caso, um funcionário do departamento enviou equivocadamente por e-mail dados pessoais como nome, data de nascimento, cargo, número de passaporte de 31 líderes mundiais que participaram de um encontro do G20 no país.
8 – British Airways – Em março de 2015, os dados pessoais de milhares de passageiros da companhia aérea britânica British Airways foram acessados sem autorização, após uma invasão ao banco de dados de passageiros da empresa.
9 – Uber – Em 2016, o aplicativo de transporte Uber foi vítima de uma invasão que resultou no roubo de dados de mais de 57 milhões de usuários, incluindo 200 mil brasileiros. Esse caso de vazamento de dados, no entanto, só veio a público em 2017 e a empresa foi multada em US$ 150 milhões pelo governo do estado da Califórnia, nos Estados Unidos.
10 – MySpace – Em maio de 2016, os usuários da rede social MySpace foram notificados que seus dados pessoais poderiam ter sido expostos e estar à venda online. Posteriormente, a Time Inc., empresa controladora da rede social, informou que o vazamento ocorreu em 2013 e afetou um total de 360 milhões de usuários.
11 – FriendFinder Network – Em novembro de 2016, os usuários da rede social de namoro FriendFinder Network tiveram seus dados pessoais acessados indevidamente por causa de mecanismos de segurança vulneráveis.
12 – Aeroporto de Heathrow (Reino Unido) – Em outubro de 2017, um pendrive foi perdido nas ruas de Londres contendo desde as medidas de segurança tomadas pela equipe da rainha da Inglaterra, bem como os números de identidade dos funcionários que acessam as áreas restritas de um dos maiores aeroportos do mundo.
13 – Netshoes – Em janeiro de 2018, o Ministério Público (MP) constatou que um incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras de clientes da empresa Netshoes. Em acordo assinado com o MP, o site de comércio eletrônico pagou R$ 500 mil de indenização por danos morais.
14 – MyFitnessPal – Em fevereiro de 2018, 150 milhões de usuários do aplicativo MyFitnessPal tiveram seus usuários e endereços de e-mail vazados. Posteriormente, foi descoberto que o vazamento ocorreu em razão do uso de mecanismos de segurança que historicamente já haviam sido explorados para o acesso não autorizado aos dados dos usuários da rede social de namoro FriendFinder Network.
15 – C&A – Em 2018, a C&A, uma das maiores redes varejistas do Brasil, teve cerca de 2 milhões de dados de clientes cadastrados no sistema de vales-presente e trocas de suas lojas vazarem depois de um ciberataque realizado por hackers.
16 – Banco Inter – Em 2018, o Banco Inter, um dos pioneiros em oferecer contas digitais no país, registrou um vazamento que deixou vulnerável cerca de 19 mil correntistas. O vazamento dos dados aconteceu em uma ação que envolveu o envio, por um suposto hacker, de um arquivo criptografado que teria como conteúdo senhas, códigos de verificação, cheques, declarações de imposto de renda e dados pessoais dos clientes do banco. Em dezembro do mesmo ano, a empresa fechou um acordo com o Ministério Público e pagou uma multa de R$ 1 milhão, que foi destinada a instituições públicas de caridade e a organizações que trabalham combatendo o crime cibernético.
17 – Twitter – Em maio de 2018, solicitou que seus 330 milhões de usuários alterassem suas senhas após a descoberta de uma vulnerabilidade no banco de dados da rede social. Importante relembrar que anos antes, o mesmo Twitter entrou em acordo com a U.S. Federal Trade Commission, após a conclusão de que houve graves falhas de segurança que permitiram duas vezes o acesso aos dados pessoais dos usuários da rede social.
18 – Mariott – Em novembro de 2018, a rede hoteleira Mariott sofreu o vazamento de 500 milhões de dados pessoais de hóspedes. O acesso não autorizado aos dados, entretanto, ocorria desde 2014, a partir do banco de dados da rede de hotéis Starwood, adquirida pelo Mariott em 2016.
19 – Detran-RN – Uma falha de segurança no site do Departamento de Trânsito do Rio Grande do Norte (Detran-RN) provocou o vazamento de dados de mais 70 milhões de motoristas em todo o país. O fato aconteceu em 2019 e, à época, todos os brasileiros que tinham CNH foram afetados, já que os Detrans possuem sistemas integrados.
20 – McDonald’s – Em outubro de 2019, mais de 2 milhões de registros sensíveis da rede McDonald’s Brasil vazaram e foi possível acessar dados pessoais como nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho dos funcionários. O vazamento permitiu ainda acessar 76 mil registros de novas contratações, 12 mil fichas de demissão e uma lista com 245 fornecedores e parceiros, com dados como nome da empresa, e-mail de contato e CNPJ.
21 – Ministério da Saúde – No final de 2020, o vazamento da base cadastral do Ministério da Saúde expôs os dados de 243 milhões de cidadãos na Internet. O número, acima da população brasileira atual — estimada em 213,3 milhões de habitantes, segundo o IBGE —, é explicado pelo fato de haver também dados de pessoas já falecidas.
22 – Brasil – Em janeiro de 2021, arquivos com dados pessoais de mais de 223 milhões de brasileiros apareceram em fóruns usados por criminosos digitais. Os dados eram separados por número de CPF e também estão acompanhados de informações de veículos cadastrados no Brasil. Um ano depois, o episódio, que ficou conhecido como megavazamento de dados ainda é investigado pela Autoridade Nacional de Proteção de Dados (ANPD) e sua origem é desconhecida.
23 – Brasil – Menos de um mês após o megavazamento de dados, de janeiro de 2021, a empresa de cibersegurança Psafe descobriu outro banco de dados à venda na dark web com mais de 100 milhões de celulares brasileiros. Além do número do telefone, a base continha nome completo, endereço e CPF do assinante da linha. Até o momento a sua origem é desconhecida.
24 – Amazon – Em julho de 2021, a empresa recebeu a multa de € 746 milhões da Comissão Nacional de Proteção de Dados de Luxemburgo em razão da não conformidade aos princípios da proteção de dados do seu sistema de publicidade direcionada. Até o momento é a maior multa imposta desde a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (GDPR), na Europa.
25 – Lojas Renner – Em agosto de 2021, a rede Lojas Renner sofreu um ataque cibernético. O ataque resultou na inutilização temporária dos servidores da empresa, o que resultou na paralisação de parte das operações físicas e total das operações online.
26 – Banco do Estado de Sergipe – Em outubro de 2021, por meio da técnica de engenharia social, cerca de 395 mil chaves do sistema de pagamento instantâneo PIX que estavam sob a tutela do Banco do Estado de Sergipe (Banese) foram obtidas por hackers. Em nota, o Banco Central afirma que não foram expostos dados sensíveis, como senhas, valores movimentados e saldos nas contas. Ainda de acordo com o informativo, as chaves vazadas não são de clientes do banco, e que o acesso indevido aconteceu por conta de “falhas pontuais” no sistema do Banese.
27 – Twitch/Amazon – Em outubro de 2021, a Twitch, plataforma de streaming da Amazon, sofreu um vazamento de dados pessoais ocasionada por um erro de configuração dos servidores. Aproximadamente 125 GB de dados foram vazados, dentre os quais estão os pagamentos recebidos pelos streamers da plataforma nos últimos 2 anos.
28 – Facebook – Em outubro de 2021, os servidores da empresa responsável pelas redes sociais Facebook, Instagram e aplicativo de mensagens WhatsApp ficaram 6 horas fora ar por causa de um erro de configuração nos servidores, o que impediu cerca de 3.5 bilhões de usuários de acessarem as plataformas da empresa e suas informações pessoais.
Escritório de advocacia multidisciplinar com soluções jurídicas personalizadas para empresas e pessoas. A excelência é a nossa especialidade. Unidades em Goiânia, Rio Verde (GO) e São Paulo (SP). Brasil.
