por Assis e Mendes | abr 30, 2019 | Direito digital
Infelizmente, muitas empresas ainda não entenderam como é séria a tarefa de coletar e armazenar dados pessoais de seus clientes. E quando um vazamento de dados acontece elas acreditam que apenas uma retratação com o público e um acordo com o Ministério Público podem resolver.
Afinal, pensam elas, se esse tipo de situação já aconteceu com gigantes do mercado, como Facebook, Uber, Adobe e Netshoes e essas empresas continuam a lucrar, então um vazamento de dados não deve ser tão grave, certo? Errado.
A verdade é que essas e outras companhias foram sim bastante prejudicadas por ter sofrido com a ação de criminosos digitais, e com empresas menores as consequências podem ser ainda piores.
A seguir, vamos esclarecer algumas dúvidas sobre as consequências de um vazamento de dados e sobre a atuação do Ministério Público nesses casos.
Posso fazer um acordo com o Ministério Público?
A empresa pode sim fazer um acordo com o MP. Mas isso ainda a coloca bem longe de resolver o problema.
Em 2018, o Banco Inter teve os dados de mais de 19 mil clientes vazados. Primeiro, a instituição negou a quebra de sigilo, mas algumas semanas depois acabou confessando que informações de seus correntistas estavam sendo vendidas na Deep Web.
Inicialmente, o Ministério Público cobrou uma multa de R$ 10 milhões e, depois de meses de disputa, o valor for acordado em R$ 1,5 milhão. Deste montante, R$ 500 mil seriam encaminhados para instituições de caridade e R$ 1 milhão para órgãos públicos que combatem os crimes digitais.
Apesar de ter reduzido a sanção aplicada no caso, o Banco Inter pode ter perdido algo ainda mais precioso: sua credibilidade com o público. Ter suas senhas, dados pessoais e transações financeiras expostas é algo gravíssimo e muitos correntistas podem ter perdido a confiança no banco.
O MP é o único que vou precisar enfrentar?
Bater de frente com o Ministério Público, normalmente, é o principal receio das empresas quando identificam um vazamento de dados, mas o MP não é o único órgão que uma companhia pode enfrentar quando tem problemas com a segurança. Também pode ser necessário lidar com ações judiciais em outras instâncias.
No caso do Banco Inter, por exemplo, a Comissão de Valores Mobiliários (CMV) também começou a investigar o caso no fim do ano passado e ainda pode abrir um processo contra a instituição financeira.
Além disso, a empresa que acabar expondo os dados que armazena pode enfrentar ações judiciais de seus clientes, funcionários e até parceiros comerciais se eles se sentirem prejudicados pela quebra de sigilo.
Unir uma redução drástica no número de clientes, o pagamento de uma multa que pode descapitalizar o seu negócio, uma porção de processos judiciais e a perda de parceiros estratégicos pode resultar em um período bastante complicado para a sua empresa e, eventualmente, até sua falência.
A LGPD pode endurecer as regras de vazamento de dados?
Sim, a nova Lei Geral de Proteção de Dados (LGPD) a ser implementada no ano que vem chega para deixar ainda mais clara a importância de fazer uma gestão adequada dos dados e endurecer as sanções em caso de vazamento.
Até 2020 as empresas que coletam e processam informações de brasileiros – online ou offline – ou têm operações no país precisam se adequar a uma série de regras para evitar sanções de até 2% de seu faturamento ou R$ 50 milhões por infração.
Como lidar com um vazamento de dados?
A melhor forma é prevenir que o vazamento aconteça e ter um advogado especializado em direito digital e proteção de dados é fundamental para isso.
Esse profissional pode ajudar a encontrar vulnerabilidades no seu sistema, propor soluções para reduzir as chances de acontecer um vazamento, orientar mudanças nos seus processos para se adequar às novas leis de proteção de dados e criar um plano de gestão de crise em caso de quebra de segurança.
Com a ajuda do especialista, você e sua equipe saberão exatamente que providências tomar caso haja um vazamento de dados e estarão melhor preparados para lidar com problemas jurídicos, caso eles aconteçam.
Se você quer ter essa segurança no seu negócio, entre em contato com os advogados da Assis e Mendes!
por Assis e Mendes | jan 23, 2019 | Não categorizado
A Wired, portal sobre tecnologia, noticiou recentemente um dos maiores vazamentos de dados da história. Segundo o site, houve uma brecha que expôs 772.904.991 e‑mails e senhas pessoais. O incidente está sendo chamado de Collection #1.
A falha teria sido notada inicialmente por Troy Hunt, um especialista em segurança digital, e contém cerca de 87 gigabytes de dados divididos em 12 mil arquivos. Algo que chama atenção é que as informações não estariam disponíveis para venda nos cantos mais obscuros da deep web, mas sim gratuitamente em um fórum de hackers.
Além
do número impressionante, outro ponto que diferencia o Collection #1 de outros
casos de vazamento de dados é a fonte. A maioria dos incidentes está ligada à uma
empresa, como já aconteceu com o Facebook, LinkedIn e Adobe. Mas no vazamento
detectado por Hunt, os arquivos reuniam dados de 2000 bancos de dados e nenhum
deles estava criptografado.
“Parece
uma coleção completamente aleatória feita com o objetivo de maximizar o número
de informações para os hackers. Não existem padrões óbvios, a intenção parece
ser apenas expor o máximo de informações”, contou Hunt em entrevista para a Wired.
O
especialista acredita que a ideia seja hackear não só os e‑mails, mas usar as
informações para conseguir acesso às redes sociais e outros sites, já que
muitas pessoas utilizam as mesmas senhas em diferentes plataformas.
Como saber se minha conta foi
hackeada?
Hunt mantém o site Have I Been Pwned?, algo como “Já fui hackeado?”, em tradução livre. Nele, Hunt promete vasculhar a internet para descobrir se o seu e‑mail já foi mencionado em algum vazamento de dados. A consulta é gratuita e pode ser feita facilmente informando o seu e‑mail.
Além disso, desde o ano passado o GDPR já obriga as empresas a informarem os usuários em casos de quebra de sigilo em até 72 horas e a Lei Geral de Proteção de Dados (LGPD) fará o mesmo a partir de 2020. Ou seja, se suas informações forem vazadas, a companhia que as mantinha em seu banco de dados devem entrar em contato direto com você.
Fui vítima de um vazamento de dados, e agora?
Se você foi uma vítima de um vazamento de dados, é fundamental trocar suas senhas o mais rápido possível. Não se esqueça que utilizar sequências numéricas e alfabéticas, ou mesmo informações óbvias, como seu nome, podem facilitar a vida dos hackers.
Adriano Mendes, especialista em Direito Digital e Direito Empresarial e sócio fundador da Assis e Mendes Advogados, sugere ainda uma consulta nas transações bancárias. Isso porque, através do seu histórico de e‑mails e contatos, o criminoso pode ter acesso à informações pessoais, como CPF, endereço e número de cartão de crédito
Adriano dá ainda uma dica preciosa: “tenha uma senha mestra
para o seu e‑mail principal, uma senha diferente para cada serviço que utilize
dados financeiros ou cartão de crédito e senhas ‘genéricas’ ou logins para os
demais serviços”. O especialista em Direito Digital ainda sugere serviços como
o SenhaSegura, o Lastpass e o Password1, que geram senhas automáticas.
Se
a plataforma tiver um sistema de confirmação de dois fatores – que solicita
outro tipo de confirmação, além da senha – é interessante habilitá-lo também.
Redes
sociais como o Facebook têm ainda uma ferramenta de segurança que permite que
você qualifique outro usuário para administrar sua conta em casos de
emergência. Através desses amigos você também pode entrar em contato com a
plataforma e reaver o seu perfil.
Se a sua empresa apresentou uma falha na segurança e os dados foram expostos, o melhor a se fazer é seguir o protocolo do GDPR e da LGPD (Lei Geral de Proteção de Dados) e avisar os consumidores o mais rápido possível.
Também
é fundamental acionar sua equipe de TI para localizar a brecha e corrigi-la e
movimentar seus advogados para analisar as medidas cabíveis.
Se você precisa implementar medidas de segurança contra os ataques digitais e vazamento de dados na sua empresa, entre em contato com os advogados da Assis e Mendes. Nossos especialistas em Direito Empresarial e Direito Digital vão ajudar o seu negócio a atuar de forma segura, eficiente e em conformidade com a lei.
por Assis e Mendes | set 20, 2018 | Sem categoria
Depois do grande volume de companhias que tiveram dados vazados e com as diretrizes do GDPR já em ação, a proteção de dados e a segurança na internet se tornou um assunto ainda mais importante para as empresas.
Hoje os dados confidenciais de clientes e fornecedores, bem como as operações realizadas pelas empresas são bem preciosos para os criminosos. Eles utilizam armas como phishing e ransomwares para sequestrar informações e cobram um preço alto para devolvê-las, ainda que, em muitos casos, isso não aconteça.
Além do preço cobrado pelos criminosos, as empresas que têm sua segurança violada ainda podem ser obrigadas a pagar indenizações aos afetados e aumentar o investimento em infraestrutura e software. E tudo isso tem um preço.
Uma empresa de segurança russa apurou que o custo médio desses incidentes é de mais de US$ 1,2 milhão para as companhias. Além disso, os incidentes de violação e vazamento de informações aumentaram significativamente desde 2015 e atingem, hoje, empresas de todos os portes.
Além da perda financeira direta, a reputação das empresas que têm suas barreiras de segurança afetadas também costuma ser prejudicada. Com isso, elas podem perder a confiança de clientes atuais e futuros, o que compromete ainda mais o faturamento.
A verdade é que não há fórmula mágica para evitar um vazamento de dados. Mas existem algumas atitudes que você pode tomar para diminuir as chances do seu negócio sofrer uma violação digital. Na sequência, você confere 7 delas:.
Escolha os melhores fornecedores
Qualquer empresa que tenha algum tipo de atuação virtual precisa tomar cuidado na hora de escolher seus fornecedores.
A hospedagem do seu site, a ferramenta que usa para gerenciar a loja virtual, o banco de dados e todos os instrumentos necessários para manter ou processar os dados em qualquer nível precisam ser altamente confiáveis.
Para fazer a escolha certa, priorize empresas que sejam líderes de mercadoe tenham boa reputação. Detalhe os níveis de segurança e disponibilidade que oferecem.
Tenha boas senhas e mude-as de tempos em tempos
As senhas de acesso também devem receber atenção especial se você deseja evitar vazamento de informações e reduzir a vulnerabilidade da sua empresa.
Quando for escolhê-las, fuja de senhas muito simples e convencionais, como sequências de números ou letras. Evite também palavras como “senha” e o nome ou número de telefone da sua empresa.
O ideal é mesclar letras maiúsculas, minúsculas, números, letras e caracteres especiais para criar uma senha mais eficiente.
De tempos em tempos você também deve mudar as senhas principais, em especial quando algum funcionário que tinha acesso as elas tiver saído da sua equipe.
Invista na criptografia
A criptografia transforma as suas informações em uma espécie de enigma que só pode ser desvendado por quem conhece o segredo.
Ela é importante principalmente para as empresas que lidam com transmissão de dados sigilosos, como número de cartão de crédito e endereços. Isso porque quando as informações são criptografadas, mesmo que um criminoso as intercepte, não poderá utilizá-las.
Capacite sua equipe
Os seus funcionários também precisam estar cientes do quanto é fundamental proteger os dados que vocês detêm.
Para isso, é fundamental criar uma política de segurança digital interna. Nela você deve enumerar as melhores práticas para evitar que vírus e outros instrumentos utilizados pelos malfeitores infectem os seus computadores e outros dispositivos da empresa. Oriente-os também sobre o que deve ser feito caso uma das máquinas seja afetada ou ocorra um vazamento de informações.
Tenha um plano
Evitar é importante, mas também é essencial ter um plano caso você venha a sofrer com uma violação na segurança.
As diretrizes do GDPR determinam que as empresas devem informar aos clientes o incidente em até 72 horas. Mas, para fazer isso é preciso ter um procedimento muito bem desenhado previamente para identificar os usuários afetados e notificá-los.
Não se esqueça do backup
O backup é uma cópia de segurança. Se sua empresa tem um backup atualizado e seguro, mesmo que você perca informações, ainda poderá recuperá-las.
Assim, se um hacker invadir o seu site e apagá-lo, você ainda pode acessar o backup e utilizar a cópia de segurança para montá-lo novamente o mais rápido possível.
Crie termos de uso e privacidade
Os termos de uso e privacidade não evitam diretamente que os dados sejam vazados, porém, esses documentos informam aos usuários sobre como suas informações são usadas e avisam o que será feito caso haja uma quebra de sigilo.
Com isso, você estará melhor protegido juridicamente no caso de um incidente, e ainda irá conquistar a confiança do seu público.
Quer saber mais sobre proteção de dados e como reforçar a segurança digital da sua empresa? Então entre em contato com a Assis e Mendes, um escritório de advocacia especializado em Direito Digital e Tecnologia que vai ajudar a proteger os seus clientes e o seu negócio!
por Assis e Mendes | jul 26, 2018 | Direito digital, Direito digital, Direito digital
Os nudes são fotos íntimas que são enviadas voluntariamente entre duas pessoas que estão em um relacionamento amoroso. Enquanto a relação vai bem, normalmente, o sigilo das imagens é mantido, mas se há algum tipo de desentendimento, muitos “exs” vazam os nudes como forma de se vingar, algo que também é conhecido como pornô de vingança.
Esse tipo de exposição pode gerar efeitos gravíssimos na vida pessoal da vítima, fazendo com que ela se afaste dos amigos, família, tenha sua carreira prejudicada e levar, até mesmo, à morte. Foi o que aconteceu com a adolescente Karina Saifer, que cometeu suicídio depois de sofrer meses de bullying por conta de possíveis fotos íntimas que poderiam ser vazadas.
A gravidade desse tipo de vazamento de nudes impulsionou uma onda de protestos que pedem que a Justiça brasileira adote medidas mais enérgicas contra a divulgação de imagens íntimas compartilhadas sem a autorização da vítima.
Um dos mais recentes, aprovado no fim de 2017, é o projeto de lei no 18/2017. A proposta altera a Lei Maria da Penha e o Código Penal Brasileiro, incluindo a violação de intimidade como uma forma de violência doméstica cuja pena é de até 4 anos. Qualquer pessoa que facilitar, compartilhar ou incentivar a divulgação das fotos também poderá ser indiciada, segundo o projeto de lei.
Se você for vítima ou conhecer alguém que está sofrendo com o vazamento de nudes, algumas das atitudes que pode tomar são:
Faça cópias de segurança: embora a reação inicial seja a de apagar todo o conteúdo vazado, especialistas recomendam que a vítima tire prints e arquive-as como forma de provar que as fotos foram exibidas. O ideal é que essas cópias mostrem o nome das pessoas e dos canais que contribuíram para o compartilhamento.
Esses documentos podem ser levados a um cartório com o intuito de fazer uma Ata Notarial, um documento que autentifica fatos e situações de forma que eles não possam ser contestados no futuro e em julgamento.
Vá até uma delegacia: o compartilhamento de imagens sem a autorização é ilegal e a vítima está amparada pela lei, então o próximo passo pode ser fazer um boletim de ocorrência para relatar o ocorrido e denunciar a divulgação indevida das imagens.
Procure um advogado: com as provas em mãos, busque um advogado, preferencialmente especializado em Direito Digital para iniciar o processo e buscar reparação pelos danos sofridos.
Solicite a remoção: se suas fotos estiverem hospedadas em um site ou rede social é possível enviar uma solicitação diretamente para o provedor para pedir que as imagens sejam removidas, já que o conteúdo foi publicado ilegalmente e sem a sua autorização. Esse processo pode ser um pouco demorado e burocrático, por isso é essencial ter o amparo de um advogado já nesse momento.
por Assis e Mendes | jul 19, 2018 | Direito Empresarial
Hoje, a maioria das empresas recolhe algum tipo de informação de seus clientes pela internet. Pode ser o nome e e‑mail que você deixou para baixar um e‑book, uma foto que publicou nas redes sociais ou mesmo seu endereço e o número de cartão de crédito fornecidos depois de fazer uma compra em uma loja virtual.
Todas essas informações permanecem nos bancos de dados das empresas que as recolheram e são usadas para diversas finalidades, como pesquisas sobre o público-alvo e campanhas de marketing.
O grande problema é que não são só as empresas que perceberam que esses dados são valiosos, mas também os criminosos digitais, e é por isso que acontece um dos cibercrimes mais perigosos atualmente: o vazamento de dados.
E não são só as empresas menores que estão sujeitas a um vazamento de dados, mas, principalmente, as grandes companhias.
Veremos, na sequência, alguns dos casos mais impactantes de vazamento de dados que aconteceram com as principais empresas do Brasil e do mundo.
Netflix, LinkedIn, Last.FM e outros – 1,4 bilhão de senhas vazadas
No fim de 2017, foi encontrado um arquivo que reúne mais de 1,4 bilhão de nomes de usuários e senhas de diversos sites, como Netflix, LinkedIn, MySpace, Las.FM, Minecraft e YouPorn.
O arquivo era organizado por ordem alfabética e frequentemente atualizado pelos hackers. Ele poderia ser facilmente encontrado por meio de plataformas para download de torrents e na dark web (uma parte da deep web onde são compartilhadas informações ilegais).
Apesar de a Netflix ter negado o vazamento, especialistas que tiveram acesso ao arquivo que compilava as senhas afirmaram que muitas delas estavam corretas.
Facebook – 87 milhões de dados vazados
Bastante recente, o caso de vazamento de dados no Facebook também foi um dos mais controversos.
No começo de março, o diretor de tecnologia da principal rede social em operação atualmente divulgou que as informações de 87 milhões de usuários foram violadas. Destes, mais de 443 mil são brasileiros.
A situação começou a se agravar quando a Cambridge Analytica, empresa responsável por coletar e tratar os dados do Facebook, foi acusada de compartilhar indevidamente as informações para, entre outros crimes, manipular eleitores e influenciar nos resultados eleitorais de 2016, edição na qual Donald Trump foi eleito.
Mark Zuckerberg foi duramente atacado e prometeu que o Facebook adotaria medidas mais enérgicas para evitar novos vazamentos de dados.
Uber – 57 milhões de dados vazados
Uma das maiores empresas de mobilidade urbana do planeta sofreu um ciberataque em 2016 e acabou expondo informações de 57 milhões de usuários, inclusive 196 mil clientes brasileiros.
De acordo com a Comissão Federal de Comércio americana foram vazados endereços de e‑mail, números de celular e dados de carteiras de habilitação dos motoristas. Na época, a Uber negociou com os criminosos para que eles deletassem os dados e se comprometeu a avisar os seus clientes caso vazamentos de dados como esse voltem a acontecer.
Adobe – 38 milhões de dados vazados
Em 2013, a Adobe, companhia americana de softwares, confirmou o vazamento de informações de seus clientes, incluindo dados bancários. A estimativa é de que 152 milhões de nomes e senhas tenham sido expostos e 2,8 milhões de números de cartões de crédito também. Apesar disso, a empresa só confirmou o vazamento de 38 milhões de dados.
Para realizar o ataque, os criminosos conseguiram acesso a um servidor antigo da Adobe e o utilizaram para entrar na rede da companhia, recolhendo informações dos clientes e também o código-fonte de alguns de seus programas.
Vários estados norte-americanos processaram a Adobe por negligenciar a segurança de seus consumidores e o processo só foi finalizado em 2016, quando a empresa concordou em pagar 1 milhão de dólares em multa.
Netshoes – 2 milhões de dados vazados
A Netshoes, comércio eletrônico de artigos esportivos, também foi vítima de um ataque e dados como números de CPF, e‑mail e data de nascimento de seus clientes foram comprometidos. A empresa garantiu que nenhuma informação bancária foi compartilhada.
Depois de uma reunião com o Ministério Público do Distrito Federal, a Netshoes se comprometeu a ligar para os mais de 2 milhões de clientes afetados para explicar o que aconteceu e orientá-los.
É importante lembrar que o vazamento de dados é um perigo iminente para boa parte das empresas e, por isso, é muito importante implementar medidas de segurança que protejam seus dados e contar com o apoio de uma boa consultoria jurídica para garantir que você descubra falhas em sua operação e diminua o risco de isso acontecer com o seu negócio.
