CPF, RG, fotos: posso me recusar a dar meus dados na portaria de prédios?



Qual é o nome? Seu RG? Vou tirar uma foto para o registro, ok? Quantas vezes você passou por essas perguntas e precisou fornecer os seus dados pessoais na entrada de um estabelecimento comercial, na portaria de um prédio? Com a nova Lei Geral de Proteção de Dados (LGPD), que entra em vigor neste ano, ainda existem algumas dúvidas sobre o nosso poder de negar ou não o fornecimento de informações preciosas como essas.
Mas, apesar de o famoso pedido do CPF no caixa de farmácias e afins estar com os dias contados, e por mais que o visitante se sinta desconfortável ao tirar a foto do seu rosto, dar o nome, RG, CPF, as informações deverão ser repassadas. A recusa pode implicar que a entrada da pessoa no local não seja autorizada.

E por que isso acontece mesmo com a nova Lei?

Segundo especialistas em privacidade e proteção de dados ouvidos por Tilt, a prática de exigir informações sobre os visitantes está diretamente ligada à segurança.
Por isso, mesmo com a nova Lei, que dá mais controle para os brasileiros e exige que empresas e governos sejam mais transparentes, os estabelecimentos precisam armazenar os dados de todos que circulam pelo lugar, explica Alessandra de Ávila Montini, pesquisadora nas áreas de ciências de dados e Big Data da FEA (Faculdade de Economia Administração e Contabilidade) da USP.
O advogado Marcelo Crespo, especializado em direito digital, proteção de dados, e sócio da PG Advogados, reforça que a finalidade da coleta dos dados é justamente promover o controle de quem está fazendo o ingresso, acesso e prover segurança para quem circula naquele edifício. Então, o titular dos dados não vai poder se recusar a dar essas informações.
"E se cai o prédio? Pega fogo? Tem que saber quem estava lá dentro, quem não estava lá, o que está acontecendo", acrescentou a especialista Montini, que também é blogueira de Tilt.

Prédios podem pedir dados, mas não é bagunça

A nova Lei começa a funcionar em agosto deste ano, se nada mudar— ela entraria em vigor no início deste ano, mas foi adiada. A partir das novas regras, empresas e governos terão que lidar melhor com os nossos dados pessoais (leia-se toda informação que pode ser usada para identificar alguém).
Informações que dizem quem você é só poderão ser usadas com o seu consentimento explícito (salvo algumas exceções). Em muitos casos, não vai adiantar uma empresa tentar induzir alguém a fornecê-las. Se tentar, estará indo contra a Lei.
Outra mudança importante é que é seu direito saber como os seus dados pessoais serão usados. É a chamada finalidade específica.
Como já mencionado acima, no caso dos prédios comerciais, a finalidade é garantir a segurança de todos no local. Por isso, o nome, RG ou CPF e a sua foto servem como dados base para a sua identificação.
Agora, o estabelecimento não pode usar essas informações para oferecer propagandas futuras ou para vender serviços, destacam os especialistas. Muito menos sair por aí pedindo coisas como o seu endereço residencial, e-mail, o número de celular. A não ser que seja provado por A mais B que as informações são necessárias para determinado fim.
"O legítimo interesse é a segurança. Então eu posso usar os dados só para a finalidade a que se destinam", ressalta Montini. Outro exemplo prático é a entrada em uma universidade. "Na hora de pegar os dados pessoais do visitante, o funcionário pode perguntar se ele autoriza o uso de dados para a oferta de promoções, bolsas de estudo. Mas é preciso combinar na hora, no momento em que o dado é fornecido", completou Montini.
"A LGPD traz novas novos parâmetros para as empresas tratarem os dados pessoais das pessoas. Significa dizer que as empresas vão precisar dar mais transparência e utilizar os dados pessoais vinculados a uma finalidade específica, para que essa transparência seja ainda mais efetiva", ressalta Crespo.

Consentimento dos seus dados

Com a nova lei, na maioria dos casos, as empresas só poderão coletar, armazenar e tratar os nossos dados pessoais se a gente autorizar.
Existem 10 requisitos para esse tratamento e o consentimento é um deles, segundo explica o advogado Carlos Afonso, professor da Faculdade de Direito da UERJ e blogueiro de Tilt.
O que a organização vai fazer com eles também devem ser informado. Isso pode ser feito em forma de um contrato, por exemplo.
Se ainda existe alguma dúvida sobre o que são dados pessoais, confira os exemplos abaixo:
  • Nome
  • Apelido
  • E-mail
  • RG
  • CPF
  • Endereço
  • Dados de localização (GPS)
  • Endereço de IP (do seu computador)
  • Dados de navegação em sites, aplicativos
  • Registros médicos
Existe ainda uma divisão, com os chamados dados sensíveis. Eles nada mais são do que informações sobre a sua opinião política, religião, origem racial ou étnica, dado biométrico, entre outros. Tirando as exceções, o possível uso deles deve ser informado e autorizado por você.
Outro termo importante a ser lembrado é o dado anonimizado. Basicamente, são informações que não são suficientes para identificar uma pessoa. Por isso, é a exceção durante a coleta de dados. Uma empresa não precisa que o usuário dê consentimento para usá-los.
Outras situações em que o consentimento é dispensado e as empresas podem usar os seus dados pessoais e sensíveis, segundo a nova lei, podem ser:
  • Se for preciso o cumprimento de uma obrigação legal ou regulatória, como uma decisão da Justiça, por exemplo;
  • Uso e tratamento de dados necessários à execução de políticas públicas, por governos, previstas em leis ou regulamentos, como campanhas de vacinação;
  • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
  • Para proteção da vida ou da integridade física da pessoa ou de terceiro;
  • Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Combate à prevenção de fraudes e à segurança do dono dos dados.

Existe punição para quem infringir a nova LGPD?

Sim, quem descumprir as normas da LGPD está passível de punição. No caso de estabelecimentos comerciais, a multa pode ser de até 2% do faturamento, com a condição de que o valor não ultrapasse R$ 50 milhões.
Ainda não está muito claro como a fiscalização será feita. Mas a Autoridade Nacional de Proteção de Dados foi sancionada no ano passado. Ela vai funcionar como um "xerife de dados".
Fonte: UOL Notícias.
everyti.com.br

Golpe usa engenharia social para roubar dados no LinkedIn

Entre as várias formas que um criminoso pode subtrair dados de uma pessoa, a engenharia social é um dos recursos mais utilizados. Essa técnica trata de, com base no comportamento do público, criar "armadilhas virtuais" que o façam entregar seus dados acreditando se tratar de um motivo válido e justo. 
A companhia de segurança ESET mencionou recentemente um golpe surgido na América Latina em 2017 e que ainda faz muitas vítimas na região: o uso de engenharia social para, por e ail, convencer usuários a ceder informações pessoais acreditando se tratar de uma mensagem enviada pela rede social LinkedIn
 De acordo com a empresa, o golpe se inicia com o usuário recebendo um email informando que sua conta poderá ser desativada, indicando um link para o qual ela pode reativar seu perfil. Ela, então é direcionada para uma página comum de formulários, fora do LinkedIn. O documento, porém, pede informações como login e senha. 
 Segundo Camilo Gutierrez, chefe do laboratório de pesquisa da ESET América Latina, esse golpe é mais comum em outros países da região. Porém, o profissional indica que há chances de que uma prática similar seja implementada no Brasil. 
"Como mencionamos recentemente na ESET, quando falamos sobre as mensagens e e-mails mais usados pelos cibercriminosos para promover golpes, o LinkedIn é a rede social em que os criminosos mais tentam fazer esse tipo de golpe", explica. 
Para quem deseja se proteger, a companhia apresenta os seguintes conselhos: 
  • Endereço do remetente: o primeiro ponto a ser analisado é o endereço do remetente. Embora o nome da plataforma esteja incluído no cabeçalho, ela claramente não corresponde a nenhum domínio ou serviço associado ao LinkedIn.
  • Falta de personalização da mensagem: é comum que, nesse tipo de campanha, o nome do destinatário seja omitido, pois são apenas remessas massivas para grandes bancos de dados que buscam alcançar possíveis vítimas.
  • Erros gramaticais: é comum encontrar idiomas específicos, erros ortográficos ou gramaticais resultantes de traduções on-line.
  • Link para site falso: caso o usuário acredite na veracidade da mensagem e decida entrar no domínio fornecido, logo verificará que se trata de um serviço gratuito de formulários on-line, o que corresponde a um comportamento irregular para uma empresa de grande porte do tamanho do LinkedIn.
  • Tenha uma solução de segurança: tanto em computadores quanto em dispositivos móveis, utilize uma solução, pois elas servem como barreira protetora contra esses sites.
  • Acesse a plataforma oficial: no caso de suspeitar que a mensagem pode ser verdadeira, seja por ser um usuário muito ativo nesta ou em outra plataforma, é recomendável acessá-la de maneira tradicional e verificar se tudo está correto ou se é necessário alterar credenciais.
  • Use o duplo fator de autenticação: sempre que possível, a ESET recomenda utilizar essa ferramenta para dificultar o acesso de criminosos.
  • Não clique em links desconhecidos: mesmo que tenha recebido de amigos, sem antes ter certeza da segurança do link, não acesse.
Fonte: Computer World.
everyti.com.br

Reconhecimento facial no Metrô teria 'consequências desastrosas', dizem advogados


Advogados especializados na legislação brasileira de proteção de dados avaliam que é correta a ação cautelar ajuizada pela Defensoria Pública de São Paulo, em parceria com outras cinco instituições, para cobrar informações do Metrô de São Paulo sobre a criação de um sistema de câmeras com reconhecimento facial. O sistema custará R$ 58,6 milhões e pode atingir 3,7 milhões de passageiros.
Apesar de a Lei Geral de Proteção de Dados (LGPD) permitir o uso de imagens para fins de segurança pública, o Metrô, segundo os especialistas, precisa detalhar como os dados coletados dos passageiros serão protegidos.
Na cautelar impetrada na Justiça, a Defensoria de São Paulo, a Defensoria Pública da União e as organizações não-governamentais Instituto Brasileiro de Defesa do Consumidor, Intervozes, ARTIGO 19 e o Coletivo de Advocacia em Direitos Humanos cobram os estudos prévios do Metrô para avaliar o impacto esperado da implementação do sistema e os riscos de usá-la no transporte coletivo.
Na ação, os autores também questionam quais os sistemas de segurança serão adotados para impedir o vazamento das imagens e dados dos passageiros. A Justiça acolheu o pedido e determinou que o Metro apontasse riscos e a ‘motivação pública’ do contrato.
Avaliação dos especialistas em LGPD
Em linhas gerais, os advogados especialistas em LGPD concordam com os argumentos da cautelar.
Luiz Felipe Rosa Ramos, lembra que a tecnologia de reconhecimento facial é uma das mais polêmicas no âmbito da discussão sobre privacidade.
“Por um lado, alguns defendem sua eficácia em termos de prevenção em segurança (no ano passado, identificaram um suspeito de homicídio no meio do carnaval baiano com o uso da tecnologia), mas, por outro, aponta-se uma alta taxa de erros e um certo viés em desfavor de segmentos da população historicamente discriminados”, ressalta Ramos, que é sócio da Advocacia José Del Chiaro.
Ramos lembra que São Francisco, na Califórnia, “uma das mecas da tecnologia”, anunciou no ano passado o banimento do seu uso enquanto a China tem aprofundado a adoção do reconhecimento facial.
Polêmicas à parte, ele lembra que a LGPD permite o uso das imagens e o tratamento de dados “para fins exclusivos de segurança pública”. “Mas essa exceção deve obedecer a requisitos rigorosos, como não ser realizada exclusivamente por pessoa de direito privado ou sem a tutela de alguma autoridade governamental”, explica o especialista.
As medidas adotadas, além disso, devem ser proporcionais e limitadas. “Por exemplo, o alcance da tecnologia não deve se dar em áreas para além do necessário para a segurança e não deve haver captação de outros elementos (como áudio), bem como as imagens não devem ser utilizadas para outras finalidades”, afirma Ramos.
Ele lembra que a Autoridade Nacional de Proteção de Dados, criada pela LGPD, terá o papel fundamental de emitir opiniões técnicas ou recomendações sobre temas ligados à segurança pública. “Além disso, no ano passado, a Câmara criou uma comissão de juristas para elaborar anteprojeto de legislação específica para o tratamento de dados pessoais no âmbito de segurança pública.”
Para a advogada Poliana Banqueri, especialista em LGPD, a questão da privacidade antecedem a adoção da LGPD. “É o que ocorre neste caso em que o Metrô coleta dados para reconhecimento facial faltando, porém, com a devida transparência sobre a finalidade no tratamento dos dados, que são sensíveis”, diz Poliana.
“Com a LGPD as obrigações se tornam mais claras.”, diz a advogada do Peixoto & Cury Advogados
Segundo ela, apesar da legalidade do uso de imagens para proteção à vida, é preciso que o Metrô garanta que os dados não sejam passíveis de vazamento e tratamento discriminatório dos usuários. “Ou mesmo a simples utilização para fins comerciais sem consentimento dos usuários.”
Poliana lembra que, em 2018, a ViaQuatro (concessionária da Linha 4 do Metrô) sofreu ação civil pública pela utilização de tecnologia de reconhecimento facial com objetivo de reconhecer o gênero, faixa etária e emoções dos usuários expostos à publicidade veiculada, inclusive comercial. “A Justiça determinou que a concessionária cessasse ‘a captação de imagens, sons e quaisquer outros dados através de câmeras ou outros dispositivos envolvendo as denominadas portas digitais'”.
Renato Valença, vai na mesma linha. Apesar de reconhecer que o uso da tecnologia e da inteligência artificial seja uma tendência irreversível, o advogado indaga: “Até que ponto a almejada segurança não coloca em risco outros direitos fundamentais dos milhões de usuários do Metrô, como a privacidade e a própria integridade de sua identidade?”
Valença, que também é especialista em LGPD do Peixoto & Cury Advogados, lembra que a biometria facial – obtida a partir de características únicas das pessoas, como a distância entre os olhos, tamanho e formato do queixo e comprimento do nariz – forma um conjunto de informações que identifica, de maneira única, uma pessoa. “Por princípio, segundo a LGPD, o uso dessas informações necessitaria do consentimento do titular desses dados”, explica o advogado. “O consentimento pode ser dispensado em algumas hipóteses, como, por exemplo, quando o uso dos dados sensíveis tiver a finalidade de proteção à vida ou da incolumidade física do titular ou de terceiros. Esse deveria ser o embasamento legal invocado pelo Metrô.”
Entretanto, Valença concorda que, mesmo com tal embasamento, a grande questão relaciona-se à segurança dessas informações coletadas. “Onde, por quanto tempo, sob quais circunstâncias, e com que nível de proteção esses dados tão sensíveis estarão armazenados?”, questiona. “Por quanto tempo? Quem terá acesso a eles?”
Segundo o advogado, um vazamento acidental ou acesso não autorizado tem potencial de enorme impacto na vida privada dessas pessoas. “As novas tecnologias parecem nos levar a um caminho que permitirá cópias forjadas desses dados biométricos, e as consequências podem ser desastrosas, como o roubo de identidade.”
Lucas Paglia, entende que o Metrô tem a obrigação de minimizar os possíveis efeitos de um vazamento de dados. Segundo ele, o Metrô pode alegar que a transparência é baseada em segurança para os usuários.
“Há um legítimo interesse baseado na segurança dos passageiros, mas, a partir do momento em que a lei entrar em vigor, esse legítimo interesse tem que ser explicado. É preciso dar transparência ao assunto para o usuário final”, ressalta Paglia, que é sócio da P&B Compliance.
Felipe Carteiro Moreira, advogado da área Cível, lembra que há pouco mais de um ano, o próprio IDEC ajuizou ação civil pública contra a ViaQuatro, concessionária responsável pela administração da Linha 4 – Amarela, para buscar indenização por danos coletivos de R$ 100 milhões pelo uso de câmeras de reconhecimento facial nas entradas dos vagões de trens, sem prévio consentimento ou aviso dos usuários.
“Diferentemente daquele caso, no processo ajuizado contra o Metrô, não se busca, ainda, o recebimento de indenização. As entidades que encabeçam a ação, em verdade, visam a obtenção de informações relativas ao funcionamento do sistema a ser implantado nas estações de Metrô para, em momento oportuno e se for o caso, adotarem as medidas judiciais cabíveis”, avalia Moreira, do Rayes & Fagundes Advogados.
Segundo ele, o uso de câmeras de reconhecimento facial em benefício da segurança pública, embora autorizado pela LGPD, deve se destinar estritamente ao atendimento do interesse público, tendo em vista a potencialidade de lesão à privacidade dos cidadãos.
“Na Europa, por exemplo, o uso recorrente de tecnologias de vigilância em ambientes públicos tem sido objeto de escrutínio pelas agências nacionais de proteção de dados que, inclusive, já fixaram precedentes para a imposição de sanções contra agentes que se valem, indevidamente, de câmeras de reconhecimento facial”, diz ele.
Polêmica criminal
O tema também é polêmico dentre os criminalistas. Mestre em Direito Penal e Direito Processual Penal, Daniel Gerber ressalta que “enquanto ideia” é plenamente favorável ao sistema de reconhecimento facial, mas contesta a adoção do sistema no campo prático. “Em teoria, isso se traduz num tipo de segurança muito bem-vinda em uma sociedade qualquer, mas não acredito que tenhamos desenvolvido no nosso cotidiano mecanismos de segurança que efetivamente garantam a não-utilização dos meus dados faciais por terceiros”, diz o criminalista. “Então, enquanto não estivermos efetivamente seguros de que o meu rosto não será clonado por terceiros, este reconhecimento acaba se tornando um problema talvez mais grave do que aquele que se busque solucionar”.
Para Daniel Bialski, criminalista especializado em Direito Penal e Direito Processual Penal, a questão é confiabilidade do sistema. “Pelo menos a tecnologia que temos visto não é cem 100% confiável porque alguns sistemas reconhecem a face e outros, por exemplo, a íris dos olhos.”
Para Bialski, primeiro é preciso se certificar da eficácia do modelo adotado. “Eu sou favorável em todas as searas ao desenvolvimento e a aplicação das tecnologias que a gente tem à disposição, seja facial, seja manual, seja digital, mas, para você ter 100% de segurança e de certeza, é necessário que o sistema e que as informações sejam absolutamente seguras”, diz o advogado. “Da mesma forma que nas investigações criminais, o reconhecimento digital não pode dar azo a dúvidas.”
Fonte: Isto É Dinheiro
everyti.com.br

Quais são as conformidades e exigências que uma empresa de TI deve se atentar?

A pesquisa global de Fraude e Identidade 2019, realizada pela Experian, mostrou que 84% dos brasileiros consideram a segurança de seus dados o aspecto mais importante durante uma experiência online. O estudo, que ouviu mais de 10 mil pessoas, em mais de 21 países - inclusive no Brasil, trouxe a certeza de que medidas de proteção às informações fornecidas pelos usuários eram necessárias.
Entre processos precisos para garantir a satisfação e cuidado com o usuário, surge o GRC, Governança, Risco e Conformidade. Basicamente, o GRC é um modelo de trabalho que unifica diferentes áreas de uma corporação com o objetivo de executar todos os movimentos da empresa de acordo com as políticas exigidas.
Tendo como base a transparência, os profissionais dedicados ao GRC precisam alinhar, cuidadosamente, objetivos estratégicos, assim como buscar constantes melhorias para a organização. "Com todas as exigências e volatilidade do mercado, o ideal é constituir um time de GRC interno, para que todo o trabalho seja feito de maneira profunda", aconselha Dario Caraponale, sócio-fundador da Strong Security, empresa especializada em segurança digital. "Além disso, ter uma área dedicada para isso traz a garantia de que tudo está sendo executado de maneira correta", complementa.
Entendendo melhor a sigla GRC
Governança, o primeiro item da sigla, define a estratégia entre objetivos internos e de mercado, sem interferir em suas políticas de implantação ou manutenção de ativos de TI ou SI. Trazer essa técnica não só provê mais ferramentas, como traz valor ao departamento por oferecer criação e acompanhamento de índices.
Já os riscos representam todas as ameaças e impactos que podem atingir uma empresa, e, mais do que reconhecê-las, ao aplicar o GRC é possível preveni-las. "Quando temos todas as ameaças mapeadas, fica muito mais fácil agir. Implementar controles que possam prevenir ou mostrar quando algo não vai bem, pode ser o diferencial entre o sucesso e fracasso de uma ação", diz Dario.
Assunto em alta, cercado de temas consistentes como o LGPD, o compliance nada mais é do que seguir as regulamentações e normas - tanto internas, quanto externas, sejam impostas por órgãos regulatórios ou governo. De maneira geral, seguir o compliance faz com que os usuários sejam protegidos e a empresa atue de maneira sincera, ficando longe de multas e reforçando a credibilidade. "O cliente é sempre o melhor amigo de uma empresa. Ao amarrarmos todas as exigências do GRC, conseguimos solidificar a confiança entre clientes, usuário e corporação, oferecendo soluções inteligentes e individuais", finaliza Dario.
Como implementar a GRC?
Com anos de experiência no mercado de segurança da informação, a Strong Security Brasil atua oferecendo cursos capacitantes e soluções que previnem e retém possíveis ataques. Além de transformar profissionais em verdadeiros protetores de dados, a empresa também terceiriza seu serviço.
Fonte: Terra Notícias.
everyti.com.br

Dell prepara-se para vender unidade de cibersegurança por 2 bilhões de dólares


A norte-americana Dell vai vender a sua unidade dedicada à área da cibersegurança a um consórcio liderado pela Symphony Technology Group, pelo Ontario Teachers’ Pension Plan Board e pela AlpInvest Partners. A venda permitirá à Dell encaixar 2,08 mil milhões de dólares, cerca de 1,92 mil milhões de euros, à conversão atual.
A unidade RSA disponibiliza a cerca de 12500 clientes equipas dedicadas à área de risco, segurança e fraude, incluindo deteção de ameaças. Através de nota de imprensa, revelada esta terça-feira, a Dell indica que esta transação compreende a aquisição da RSA Archer, RSA NetWitness Platform, RSA SecurID, RSA Fraud and Risk Intelligence e da RSA Conference.
“Esta é a estratégia certa para a Dell, RSA e para os nossos clientes coletivos e parceiros”, indicou Jeff Clarke, COO e vice-chairman da Dell Technologies, citado em comunicado.
“Esta transação irá simplificar o nosso portefólio empresarial e de produto. Também permite à Dell Technologies focar-se na estratégia para tornar uma segurança automatizada e inteligente em infraestrutura, plataformas e dispositivos para manter os dados seguros, protegidos e resilientes”, é possível ler na nota de imprensa.
A Dell espera que o negócio esteja concluído dentro de seis a nove meses, após luz verde do regulador de mercado.
Fonte: Dinheiro Vivo.

everyti.com.br


Firmwares desatualizados são brecha para hackers em milhões de componentes

Seu computador são muitos dentro de um, como aponta a pesquisa da Eclypsium. A empresa especializada em segurança divulgou um estudo que serve como um alerta quanto a firmwares desatualizados em componentes como placas Wi-Fi, câmeras, trackpads, portas USB e tantos outros, que da mesma forma que sistemas operacionais ou placas-mãe, também podem servir como portas de entrada para ataques hackers.
A conclusão, claro, é catastrófica, com a segurança de tais itens “menores” sendo negligenciada desde os fabricantes até usuários, acabando por rodar versões defasadas de seus sistemas, muitos sem criptografia ou protocolos comuns de segurança. A pesquisa se concentrou em notebooks de três fabricantes — Dell, Lenovo e HP —, bem como em placas de rede da Broadcom e hubs USB da Via Labs, disponíveis em uma infinidade de laptops e dispositivos do tipo.
O resultado foi a descoberta de milhões de dispositivos vulneráveis ao tipo mais comum de brecha relacionada ao firmware, que envolve a instalação de uma versão customizada por um atacante. Em todos os casos, a falha é a mesma, com os dispositivos não checando se o sistema que está sendo instalado efetivamente corresponde a uma fonte legítima, um mecanismo de segurança relativamente simples que, na visão dos especialistas, resolveria a esmagadora maioria dos problemas.
As explorações variam de acordo com a categoria do dispositivo. Em webcams, por exemplo, o caminho mais direto é o da espionagem de usuários, enquanto placas Wi-Fi e hubs USB podem permitir a interceptação de dados trafegados pelos hackers, levando à obtenção de dados pessoais, credenciais bancárias e até mesmo chaves de segurança que utilizem formatos físicos. Além disso, em todos os casos, a equipe da Eclypsium conseguiu emular o uso de teclados ou mouses, dando controle total do computador para um atacante conectado remotamente.
Ransomware cresce 41%; pequenas empresas e usuários são principais vítimasInternet está em seu nível mais perigoso desde 2016, afirma Microsoft
  • Ransomware cresce 41%; pequenas empresas e usuários são principais vítimas.
  • Internet está em seu nível mais perigoso desde 2016, afirma Microsoft.
No caso das placas da Broadcom, os especialistas foram além e, em uma prova de conceito, demonstraram como, a partir de uma única placa comprometida, seria possível assumir controle de todos os computadores conectados, tendo acesso a seus dados a partir de máquinas virtuais ou enviando comandos de execução remota a eles. Um sério problema, já que, aqui, falamos não apenas de notebooks, mas também de componentes que estão em servidores corporativos.
Na maioria dos casos, os ataques precisam ser arrojados, exigindo acesso físico à máquina. Um comprometimento na linha de montagem, por exemplo, seria capaz de colocar milhares de máquinas em risco e, em alguns casos, uma invasão desse tipo pode se tornar quase impossível de combater, uma vez que uma espécie de contaminação cruzada pode acontecer — o firmware infectado de um componente pode ser programado para infectar outros, e mesmo quando uma versão legítima, mas não atualizada e vulnerável, é instalada, o que está ao lado pode refazer o processo.
As conclusões do estudo foram compartilhadas com as fabricantes. A Dell afirmou estar estudando os resultados e aplicando mitigações e atualizações onde é possível, enquanto a Lenovo disse já ter conhecimento prévio das aberturas e trabalhar ao lado de fornecedores e distribuidores para que protocolos de segurança sejam implementados.
Fonte: Canal Tech.
everyti.com.br

Google derruba 500 extensões do Chrome ligadas à fraude publicitária e roubo de dados


Semelhança nos códigos permitiu identificação de extensões instaladas por mais de 1,7 milhão de pessoas. 
A pesquisadora de segurança Jamila Kaya revelou que mais de 500 extensões para o navegador Google Chrome estavam coletando dados de navegação dos usuários e fraudando anunciantes com o download de anúncios publicitários que nunca eram exibidos para os usuários.
Em vários casos, as vítimas eram redirecionadas para sites maliciosos. As extensões solicitavam vários dados do usuário, inclusive o conteúdo da área de transferência (a área temporária quando se usa o recurso de "Copiar", ou "CTRL-C") e cookies (que podem dar acesso a serviços sem a necessidade de digitar a senha).
O que são 'cookies' na web e quais riscos eles representam?
Jamila usou a CRXcavator, uma ferramenta da empresa de segurança Duo Security, pertencente à Cisco, para identificar comportamentos suspeitos em extensões do Chrome. A companhia, por meio do especialista Jacob Rickerd, criador da CRXcavator, auxiliou a pesquisadora no contato com o Google, que removeu todas as extensões presentes na Chrome Web Store, o repositório oficial desses componentes.
A campanha maliciosa estava ativa pelo menos desde janeiro de 2019. No entanto, alguns dos endereços web envolvidos na fraude foram registrados em 2017, indicando a possibilidade de que eles já estavam em uso antes das primeiras extensões encontradas serem cadastradas na Chrome Web Store.
Os pesquisadores identificaram 70 extensões com 1,7 milhão de usuários. Mas, quando a informação foi repassada ao Google, a empresa realizou uma varredura em toda a Chrome Web Store e identificou as 500 extensões. O número total de usuários de todos esses componentes não foi revelado.
Quem baixou alguma das extensões maliciosas deve receber um aviso no navegador alertando que ela foi desativada.
Segundo o levantamento, o código das extensões era praticamente idêntico, modificando apenas os endereços web acessados e o nome das funções. Isso era feito para burlar as medidas de segurança da Chrome Web Store.
Apesar das semelhanças no código, o conteúdo prometido pelas extensões era variado. A maioria alegava liberar o acesso a jogos, classificado ou promoções.
A publicação de extensões maliciosas na Chrome Web Store levou o Google a modificar as regras para desenvolvedores que quiserem acessar o público do navegador em 2019. A empresa agora exige que extensões solicitem o mínimo de acesso possível às informações do usuário.
Desde julho de 2019, uma extensão também pode ser removida da loja caso ela seja divulgada com botões de ação confusos que não deixem claro que o usuário está realizando a instalação do conteúdo.
Fonte: Jornal G1.
everyti.com.br

Mais da metade das empresas não está pronta para lei de proteção de dados




Na era digital, o direito à privacidade quase nunca é respeitado. Dados pessoais são tratados como mercadorias, o que compromete a liberdade e o sossego dos usuários de quase todo o tipo de serviço. Os brasileiros terão um importante aliado na defesa de informações sensíveis a partir de agosto, quando, em tese, a Lei Geral de Proteção de Dados (LGPD) entrará em vigor. Apesar de faltar menos de seis meses para a adequação à legislação, o Brasil não está preparado.
A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e fiscalizador criado apenas no papel, está longe de entrar em operação. Se o governo não dá exemplo, o setor privado não fica atrás. Levantamento realizado pela ICTS Protiviti, empresa de pesquisa de mercado, revela que 58% das pequenas empresas ainda não se adaptaram para cumprir a lei e, de acordo com estudo do Reclame Aqui, mais de 41% dos empreendedores desconhecem o que é a LGPD (ver quadro ao lado). 
Não à toa, está em tramitação na Câmara um projeto de lei de autoria do deputado Carlos Bezerra (MDB-MT), o PL nº 5762/2019, que prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte da LGPD. “As maiores dificuldades das empresas na implementação da LGPD são, além da incorporação dos princípios da proteção de dados às suas missões e valores, o investimento, a amplitude e o prazo para implementação”, destaca a advogada especialista em direito digital Isabela Pompilio, sócia do TozziniFreire Advogados. Segundo ela, será necessária a formação de equipes especializadas em direito e em segurança da informação e investimento tanto na segurança do sistema quanto na capacidade de armazenamento.
O esperado é que seja feita a classificação de todas as informações e o armazenamento de acordo com a sensibilidade dos dados, o que naturalmente impacta em toda a estrutura de pessoal, de funcionamento e financeira das empresas. A sócia do Felsberg Advogados Clarissa Luz, especializada em Proteção de Dados pela Universidade da Califórnia, destaca três pontos importantes. “A primeira questão traz necessidade de adequação de medidas técnicas e administrativas para manter proteção, evitar excesso de tratamentos que não estejam de acordo com o serviço prestado ao consumidor”, pontua.
Sem a autoridade regulatória em operação, a lei ainda especifica todos os detalhes de como é o procedimento de adequação. “Temos exemplos na União Europeia (UE), para direcionar métodos a serem adotados pelas empresas, contratos modelos, isso tudo já existe. No Brasil, não há nem a cultura nem as diretrizes, que só virão com a implementação da ANPD”, avaliou. Segundo Clarissa, é necessário que haja urgência por parte das empresas, porque modelos de negócios complexos têm dados mais sensíveis. “As companhias estão atrasadas. Se não começarem vai ser pior. Mesmo sem a lei, existem mais de 40 dispositivos que protegem os dados e já se tem registro de R$ 7 milhões em multas”, afirma.
Para o gerente de tecnologia da informação da BRQ, Alexandre Cunha, a dificuldade das pequenas e médias empresas é relacionada a custos, que podem ser menores com terceirização, enquanto a ineficiência do governo em consolidar a ANPD é ainda mais preocupante. “Para os negócios menores, adaptação representa aumento de custos. Mas, como têm dados de funcionários, clientes e fornecedores, é melhor estar preparado. Contratar um serviço terceirizado vai sair mais barato do que pagar multas”, diz.

Ineficiência

Com relação ao atraso na implementação da autoridade nacional, Cunha considera um atestado de ineficiência do governo. “Se ocorrer, o adiamento vai nos colocar numa condição de desorganização, com impacto na reputação do país. O sistema de proteção já roda na União Europeia”, lembra. “Independentemente da lei ser prorrogada ou dessa indefinição pública da estrutura do órgão regulador, as empresas precisam se movimentar”, alerta.
O especialista em compliance Pedro Henrique Costódio, sócio do FenelonCostódio Advocacia, critica a cultura do brasileiro, de deixar tudo para última hora. “Embora tenha prazo para entrar em vigor em agosto, a lei foi aprovada em 2018. O início da discussão, no entanto, começou só no fim do ano passado”, assinala. Para o setor privado, há um custo de implementação necessário, afirma. “Na área de consumo, há demanda por dados, para atingir um público-alvo. Sem proteção, é muito fácil obter esses dados na internet. As empresas vão ter de avaliar quais serão tratados, fazer uma análise de eventuais furos para protegê-los”, destaca.
“Não se trata só da questão do consumidor. Num cenário extremo, uma pessoa em relação extraconjugal e vai num hotel, se os dados vazarem é um grande problema. Envolve proteção da honra. No caso de hospitais com prontuários médicos que são sigilosos, também é preciso ter o tratamento devido para evitar discriminação”, exemplifica. As penalidades para quem descumprir a lei vão desde advertência até multas de 2% do faturamento bruto da empresa limitada R$ 50 milhões por infração. “Não vejo possibilidade de prorrogação, porque tivemos dois anos para a adequação”, opina.
Para saber mais
Casos recentes revelaram a vulnerabilidade da segurança de sistemas digitais de grandes instituições, que precisariam dar mais explicações se a Lei Geral de Proteção de Dados já estivesse em vigor. No mês passado, um especialista descobriu que o site da Caixa Econômica Federal permitia o vazamento do token de sessão de usuários. A vulnerabilidade nessa chave dava acesso às informações como CPF, nome completo, conta e extrato do Fundo de Garantia do Tempo de Serviço (FGTS) e endereço. Na ocasião, a Caixa informou em nota que o problema foi corrigido. Em novembro de 2019, uma falha no sistema da Unimed expôs 18 milhões de beneficiários do plano de saúde. A empresa, também em nota, disse que “investe em tecnologias que garantam a segurança das operações e a proteção dos dados” e se comprometeu a “investigar qualquer suspeita de vazamentos ou ataques cibernéticos”.  

Dúvidas até nas nuvens

Grandes provedores de serviços na nuvem também precisam se adaptar, sustenta Robson Andrade, diretor da Zadara, empresa de armazenamento com isolamento de dados. “Com relação às melhores práticas, fala-se de criptografia. Porém, a garantia tem de ser do cliente. Não adianta o datacenter ter a chave da criptografia, a chave tem de ser da empresa contratante. A lei diz isso claramente”, explica.
No caso de armazenamento na nuvem, os dados ficam todos no mesmo lugar. “Para assegurar a proteção, é necessário um isolamento físico dos dados. Para provar que o dado vazou, precisa ver onde ele está. Se está junto com outros, não dá nem para fazer perícia”, justifica.
Por conta dessa complexidade, Andrade estima que quase 80% das empresas, incluindo as grandes, que detêm dados mais sensíveis, ainda não se movimentaram para se adequar à lei. “Se for olhar no funil, quem gera dado não é a pequena empresa. São as administradoras de cartão de crédito, seguradoras, planos de saúde, bancos. Cerca de 50 grandes empresas detêm 30% do volume de dados do Brasil”, sustenta. O diretor diz, ainda, que o Brasil assinou um tratado com a União Europeia. “Se o prazo para vigorar for dilatado, o tratado é interrompido”, aponta.
A especialista em direito digital Isabela Pompilio explica que, para se adaptarem, as empresas têm no mercado a oferta de diversos softwares que garantem monitoramento e gestão dos dados, com base nas diretrizes da LGPD. “Os custos de implementação poderão variar a depender do porte da companhia, suas necessidades e cultura organizacional”, diz.
A lei também prevê a criação de um Comitê de Segurança dentro das empresas, bem como a designação de um Encarregado de Proteção de Dados, que seria a figura do chamado de Data Protection Officer (DPO) na GDPR (lei da UE). “O ideal é que esse profissional, que poderá ser terceirizado, tenha conhecimento jurídico, de segurança de informação e de governança, uma vez que será responsável por supervisionar a estratégia usada na preservação de dados e colocá-la em prática”, defende.
Segundo Isabela, não há determinação de prazo específico para o armazenamento dos dados pessoais, sensíveis ou não. “A ausência de fixação de prazo determinado se explica em razão das diversas finalidades que cada empresa pode emprestar aos dados que possui. O término do tratamento dos dados pessoais ocorrerá principalmente quando for verificada que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada”, explica.
A advogada explica, ainda, que, caso as empresas forem vítimas de hackers, poderão se defender em procedimento administrativo, com ampla defesa. 
A Presidência da República, responsável pela criação da Autoridade Nacional de Proteção de Dados, transfere a competência sobre o tema para a Casa Civil. Procurada, a pasta, no entanto, não respondeu até o fechamento desta edição.
Fonte: Jornal Correio Brasiliense.
everyti.com.br