Dia Internacional da Proteção de Dados: confira 10 casos famosos de vazamento

Estabelecida pelo Conselho Europeu, a data busca conscientizar empresas, consumidores e poder público. Veja 10 casos de vazamentos de dados

O dia 28 de janeiro é comemorado, em todo o mundo, como o Dia Internacional da Proteção de Dados. Criada pelo Conselho Europeu – o “Poder Executivo” da União Europeia -, a data tem como objetivo chamar a atenção do poder público, do setor privado e dos indivíduos sobre a importância que deve ser dada à segurança das informações e o respeito devido a seu titular.

No Brasil, a data tem um motivo a mais para ser lembrada: de acordo com o estabelecido até o momento, a Lei Geral de Proteção de Dados do país entra em vigor no próximo dia 16 de agosto, determinando diretrizes que devem ser cumpridas pelas empresas e oficializando punições a aquelas que não cumprirem seu dever no que se aplica à proteção de dados de clientes e usuários.

Para exemplificar como a ausência de uma política de segurança e de uma equipe especializada em gestão de dados pode prejudicar uma empresa e seus seguidores, listamos 10 casos emblemáticos de vazamento de dados no Brasil e no mundo, que afetaram milhões de pessoas.

Marriot/Starwood (300 a 500 milhões de usuários)

Uma falha de segurança no sistema de reservas da rede de hotéis Marriot, chamado de Starwood, permitiu que hackers tivessem acesso a dados de 300 a 500 milhões de clientes.

O roubo de informações começou em 2014 e incluiu dados como nome, número de telefone, e-mail, passaporte, datas de entrada e saída e, em alguns casos, até os cartões de crédito. Com cerca de mais de cinco mil propriedades em 110 países, a Marriot acabou comprando a Starwood  em 2015 por US$ 12 bilhões, mas não detectou a falha. O caso foi revelado em 2018 e a empresa foi multada em 100 milhões de libras.

Under Armour/My Fitness Pal (150 milhões de usuários)

O aplicativo de alimentação, nutrição e vida saudável “My Fitness Pal”, do mesmo grupo da empresa de roupas e equipamentos esportivos Under Armour, sofreu um ataque que expôs por volta de 150 milhões de usuários. A brecha permitiu que nomes, endereços de e-mail e senhas criptografadas fossem roubadas. Ainda existe a possibilidade de que dados biométricos – ligados à alimentação e peso – tenham sido vazados. O problema ocorreu em fevereiro de 2018.

Facebook/Cambridge Analytica (50 milhões de usuários)

Um dos casos de vazamento de dados que mais abalou o noticiário internacional foi o que envolveu o Facebook e a empresa britânica Cambridge Analytica, tanto pela relevância da rede social, com bilhões de usuários no mundo todo, como pelo uso político dos dados, que supostamente teriam sido coletados para auxiliar na campanha presidencial de Donald Trump, atual mandatário dos Estados Unidos.

Valendo-se de testes de comportamento, que tem como requisito a autorização (opt-in) para a coleta de dados, a Cambridge Analytica teria recolhido informações básicas (nome, profissão, cidade) e de hábitos e preferências políticas de 50 milhões de pessoas.

Ashley Madison (37 milhões de usuários)

O site de relacionamento Ashley Madison, cujo público-alvo eram pessoas que desejavam ter “casos secretos”, normalmente extraconjugais, foi invadido por hackers em 2015.

Eles roubaram dados de 37 milhões de pessoas – 3 milhões no Brasil -, entre nomes, registros financeiros e informações confidenciais.

A motivação dos “ladrões de dados” não era financeira: eles exigiam que o site deixasse de operar por motivos “éticos”. Os dados vazaram, o site continua funcionando e a empresa foi multada em US$ 11 milhões.

Netshoes (2 milhões de usuários)

Um caso que chamou bastante atenção foi o vazamento de dados das listas de credenciais da Netshoes, empresa de comércio eletrônico. Entre o fim de 2017 e o início de 2018, foram reveladas informações de quase dois milhões de clientes, entre nome, CPF, e-mail e compras efetuadas. O Ministério Público classificou o episódio como “um dos maiores incidentes de segurança registrados no Brasil” e multou a Netshoes em R$ 500 mil, ameaçando aplicar uma infração multimilionária em caso de reincidência.

Uber (57 milhões de usuários)

O aplicativo de transporte mais famoso do mundo também foi vítima da insegurança digital. Em 2016, a Uber sofreu um ciberataque que roubou informações de mais de 57 milhões de usuários em todo o mundo e cerca de 200 mil brasileiros.

A empresa teria pago os hackers para excluírem os dados e se calarem sobre a questão. A falha veio à tona em 2017 e, só na Califórnia, a companhia foi multada em R$ 150 milhões.

C&A (2 milhões de usuários)

A rede varejista C&A, uma das maiores do país, sofreu um ataque de proporções similares ao da Netshoes, que afetou cerca de 2 milhões de clientes cadastrados em seu sistema de vale-presente e trocas. Os dados vazados incluíam nome, CPF, e-mail e informações sobre as compras dos clientes.

Banco Inter (20 mil usuários)

O Banco Inter teve um problema com vazamento de dados de correntistas em 2018, no qual cerca de 20 mil clientes do banco foram afetados. A revelação dos dados aconteceu por meio do envio, por parte de um suposto hacker, de um arquivo criptografado que teria como conteúdo senhas, códigos de verificação, cheques, declarações de imposto de renda e dados pessoais dos clientes (nome, endereço, telefone, CPF, RG).

O banco negou o vazamento à época, mas investigação posterior do MP concluiu que o vazamento era verdadeiro e que inclusive a chave para abrir o arquivo havia sido divulgada. Em um acordo, a instituição financeira foi condenada a pagar R$ 1,5 milhão.

PlayStation Network/Sony (70 milhões de registros)

À época considerado o 5º maior vazamento da história, em 2011 a japonesa Sony teve vazados os dados de mais de 70 milhões de registros da PlayStation Network, rede que permite aos usuários jogar videogame online. Além de nomes e e-mail, outros dados pessoais foram roubados.

Aadhaar (1 bilhão de usuários)

Considerado o maior vazamento de dados da história, a exposição das informações do Aadhaar, sistema que armazena os registros biométricos e demográficos dos cidadãos indianos, incluiu nomes, e-mails, endereços, telefones e fotos. Durante o período entre agosto de 2017 e janeiro de 2018, era possível acessar um portal da Autoridade Indiana de Identificação pagando cerca de 500 rúpias (hoje cotadas em cerca de 30 reais) a vendedores anônimos no Whatsapp.