A Importância da Ética e Responsabilidade na Divulgação de Vazamentos de Dados

Diversas empresas de segurança da informação realizam o monitoramento de atividades de criminosos online, como a venda de informações roubadas, desenvolvimento e venda de malware, lavagem de dinheiro e movimentações em criptomoedas, entre tantas outras. Em sua maioria para fins comerciais, são dois os principais objetivos para empresas que realizam este tipo de atividade.

Primeiramente, os dados coletados nesta pesquisa podem alimentar ofertas de threat intelligence, digital risk protection ou serviços de monitoração e resposta a incidentes que trazem valor legítimo ao mercado de segurança. Dados sobre os criminosos podem ajudar organizações a entender em um nível estratégico a motivação, capacidade e métodos de atuação de criminosos e usar este conhecimento para prevenir ou dificultar suas atividades. Isso beneficia a todo o mercado ao reduzir fraudes e perdas que seriam de outra forma repassadas a clientes e investidores.

Outro benefício legítimo deste tipo de pesquisa pode ser obter notoriedade. A empresa que realiza a pesquisa se posiciona como possuindo ferramental e expertise em segurança da informação para realizar descobertas e investigações de forma competente e ética. Isso pode ser feito através da divulgação responsável de incidentes ou atividades criminosas relevantes, associada a uma pesquisa de qualidade técnica séria. Isso é uma atividade legítima que ajuda nosso mercado a avançar.

Nós reconhecemos os benefícios de se trazer vazamentos relevantes ao conhecimento do público. Uma população informada se torna mais consciente e portanto mais cuidadosa. Temendo a perda de confiança dos clientes em suas marcas, empresas relutantes teriam mais motivação para a implementação de controles de segurança. Por fim, a divulgação cria pressão social por maior regulamentação, investimento e ações de combate efetivas a este tipo de crime por parte das autoridades.

Mas como tudo em nosso mercado, os detalhes importam. A maneira como a divulgação é feita faz uma enorme diferença. E o mercado de segurança é famoso pelo histórico de marketing alarmista, baseado em FUD (“fear, uncertainty and doubt” ou “medo, incerteza e dúvida”).

Divulgar supostos vazamentos de dados de forma irresponsável pode causar muitos problemas para todos os envolvidos. Aqui vai uma lista não exaustiva destes problemas:

• Divulgação prematura ou não coordenada pode fazer com que os criminosos percebam que estão sendo investigados, destruam evidências, se escondam e portanto não possam ser encontrados e punidos.
• Divulgação antes da solução do problema pode atrair a atenção de pessoas mal-intencionadas. Podem então usar a divulgação para obter cópias dos mesmos dados vazados, explorar o mesmo problema ou problemas similares, e tudo isto aumenta ainda mais as perdas causadas.
• Identificação incorreta dos responsáveis por um incidente pode levar à punição de inocentes, e à não punição daqueles verdadeiramente responsáveis pela insegurança dos dados.
• Atribuição incorreta dos atacantes, sua motivação ou capacidade podem induzir as empresas ao erro em sua resposta para evitar que sofram incidentes parecidos.
• Divulgação de fatos que sejam provados errados futuramente, bem como tirar os incidentes de proporção, pode dessensibilizar e acabar com a credibilidade destes tipos de notícias junto ao público e levar a apatia e inação.

Existe no mercado de segurança da informação uma longa discussão sobre o conceito de responsible disclosure, ou “divulgação responsável”, que começou com a pesquisa de vulnerabilidades em software. E a forma de raciocínio que se usou para se chegar às melhores práticas nestes casos é bem similar ao que temos que fazer aqui.

O que seria o equivalente a divulgação responsável para potenciais vazamentos de dados? Aqui vai uma sugestão:

• Faça uma análise técnica adequada do incidente, prestando especial atenção ao que são apenas hipóteses e qual o grau de certeza que você consegue dar para as suas conclusões baseado nas evidências levantadas.
• Identifique as organizações envolvidas no vazamento, e sua relação. Usando a nomenclatura da LGPD, entenda em especial quem é/são o(s) provável(veis) controlador(es).
• Entre em contato por escrito com a área de segurança ou DPO do(s) controlador(es) e divida os resultados da sua investigação. Se entender que pode ser recebido de forma hostil, tenha um advogado presente em qualquer reunião ou conversa posterior.
• Dê ao controlador tempo hábil para avaliar os fatos, notificar indivíduos e reguladores conforme apropriado, conduzir sua própria investigação e corrigir eventuais vulnerabilidades associadas ao vazamento dos dados. Usando a política de responsible disclosure do Google Project Zero como referência, um bom prazo default seria de noventa dias depois dos quais você irá divulgar os fatos publicamente. Use o bom senso e negocie com o(s) controlador(es).
• Caso aplicável, peça ao(s) controlador(es) evidências do cumprimento da obrigação de notificar outras entidades (ex: ANPD no caso de dados pessoais).
• Apenas após todos estes passos, publique sua descoberta com uma análise técnica completa que permita aos leitores validar as suas descobertas. Naturalmente, consulte seu advogado sobre quais informações podem ou não constar deste relatório, em especial vale mascarar informações pessoais ou de outra forma sensíveis dos indivíduos e empresas envolvidos.
• Ao conversar com a imprensa, evite sensacionalizar o incidente. Busque colocar os fatos em sua devida proporção, e dê crédito, quando apropriado, à cooperação que recebeu dos operadores ou outras entidades durante sua pesquisa.

Um ponto especial de atenção aqui é não acusar o controlador pelo vazamento de dados sem ter fortes evidências do seu envolvimento direto. Sim, o controlador é co-responsável frente à lei, mas muitas vezes o vazamento ocorreu em um de seus operadores, ou em um terceiro que presta serviços a um operador. Em nossa experiência, o controlador normalmente está tão ou mais interessado em chegar à causa-raiz e garantir que algo semelhante não volte a ocorrer.

Além disso, só se deve mencionar recompensas financeiras pela comunicação de uma vulnerabilidade ou vazamento se as empresas envolvidas já tiverem um programa de bug bounty pré-existente. Existe um real risco de que uma empresa menos madura interprete seu pedido como extorsão.

A Atuação Recente da pSafe

Recentemente o site NeoFeed publicou duas notícias referentes a “vazamentos de dados” reportados a eles pela empresa pSafe:

• Uma catástrofe digital se aproxima. E nem as empresas e as pessoas se ligaram
• EXCLUSIVO: Novo vazamento expõe mais de 100 milhões de contas de celular

Matéria dando a pSafe como fonte foi inclusive veiculada no Jornal Nacional da Rede Globo.

Fomos atrás dos press releases ou blog posts originais da pSafe sobre o assunto e encontramos apenas estes aqui:

• Vazamento em massa expõe número de CPF de milhões de brasileiros, alerta PSafe
• Possível incidente de segurança pode conter informações de quase 100 milhões de contas de celular

Estas duas publicações são um bom estudo de caso sobre como não fazer divulgação de vazamentos, infelizmente. Nós da Tenchi não temos qualquer relacionamento com a pSafe, e até onde sabemos sequer concorremos com a mesma. Mas dada a ampla repercussão dos seus blog posts na imprensa, optamos por emitir nossa opinião sobre o assunto com o objetivo de ressaltar a importância das empresas de segurança da informação como instrumentos/fontes confiáveis de informação.

Sobre o primeiro “vazamento”, vale ler esta análise do Thiago Bordini que mostra diversos pontos questionáveis na divulgação inicial. Este artigo do Luiz Queiroz levanta outras tantas dúvidas sobre ambos.

A primeira coisa que chama a atenção é que os blog posts não são descrições técnicas do que ocorreu, nem apresentam qualquer evidência do que está sendo alegado. Em certo momento um deles diz que “A maneira com que os dados foram obtidos ainda não são claras para nossa equipe“. O que se vê, contudo, é um discurso de vendas e marketing de um produto da empresa.

O homem sábio ajusta sua crença à evidência.

David Hume

Apesar dos títulos grandiosos, percebe-se que em ambos os casos essencialmente o que esta empresa está reportando é que um criminoso está usando um fórum online para anunciar que tem dados pessoais ou financeiros de brasileiros para vender.

Estes dados são novos ou simplesmente agregações de vazamentos antigos? Fazer “coletâneas” de dados de vários incidentes passados para inflar números é prática comum em fóruns criminosos. Que cuidados a pSafe ou os jornalistas que reportaram “novo vazamento” tomaram para garantir que este não foi o caso aqui?

Dado que os artigos acima não alegam ter encontrado dados claramente expostos na infraestrutura dos controladores, é desafiador no mínimo garantir qual foi a sua real origem. Quais evidências a pSafe ou os jornalistas têm do envolvimento das empresas de birô de crédito ou telecomunicações citadas em reportagens?

Se havia suspeitas de que estas empresas eram controladoras dos dados, foram notificadas antes da divulgação à imprensa para que pudessem tomar as medidas cabíveis para proteger seus sistemas, processos e clientes?

Antes de escrever este artigo procurei por contatos de mercado em empresas citadas nas reportagens. Eles me asseguraram que suas empresas não foram procuradas previamente pela pSafe, que decidiu ir diretamente à imprensa e à ANPD reportar sua análise. O simples fato dos supostos controladores não terem sido envolvidos infelizmente já indica que a análise apresentada à imprensa e ao regulador estava necessariamente incompleta.

A existência de fóruns de criminosos vendendo impunemente dados pessoais de vazamentos antigos e novos é fato amplamente conhecido no mercado de segurança da informação. A situação estar assim ruim claramente merece atenção da imprensa, e precisará de atuação organizada da sociedade e das autoridades para ser revertida. Mas sensacionalizar isso sem uma análise correta das evidências e do contexto nos parece contraproducente.

Conclusão

A imprensa e as empresas de segurança têm um papel extremamente relevante a desempenhar em descobrir e dar ciência à população de riscos reais à sua segurança e privacidade. Contudo, é importante que isto seja feito de forma ética e responsável para evitar colocar em risco os benefícios da divulgação e de causar ainda mais danos às vítimas.

Apenas uma discussão franca sobre este assunto, por mais incômoda que seja, permitirá que estes incidentes sirvam de aprendizado para os órgãos de imprensa e empresas do mercado de segurança da informação. Nós da Tenchi Security reforçamos desde já nosso compromisso com a divulgação responsável de vulnerabilidades e vazamentos, e esperamos que os demais membros do nosso mercado façam o mesmo.

---

Artigo escrito por Alexandre Sieira.