Procon de SP notifica empresas de telefonia sobre vazamentos de dados

A Fundação Procon de São Paulo notificou as operadoras de telefonia Claro, Oi, Tim, e Vivo para que forneçam informações sobre o vazamento de dados de mais de 100 milhões de celulares de seus clientes. A partir de hoje (17), as teles têm 72 horas para responder a notificação. Também foi notificada a empresa de segurança digital PSafe, que, segundo o Procon-SP, identificou o vazamento dos dados.

“As teles deverão confirmar se houve o vazamento de dados pessoais de suas bases e, em caso positivo, explicar os motivos do incidente, detalhar quais as medidas tomadas para contê-lo e informar o que farão para reparar os danos causados pelo incidente e evitar que a falha aconteça novamente”, destacou, em nota, o Procon-SP.

De acordo com o Procon, a PSafe foi notificada para explicar como foi informada do vazamento dos dados, como se deu o contato com o hacker que noticiou o vazamento, quais informações foram vazadas, e se o vazamento se deu apenas no ambiente conhecido como dark web (internet obscura).

“Esses vazamentos são gravíssimos e permitirão que sejam aplicados muitos golpes. O Procon-SP já está investigando e pede que as pessoas tomem máxima cautela, desconfiem de tudo e jamais passem dados pessoais ou entrem em sites que não conheçam”, ressaltou o diretor executivo do Procon-SP, Fernando Capez.

O vazamento foi constatado no dia 10 de fevereiro. Informações sensíveis dos consumidores ficaram expostas, como número do RG, CPF, data de nascimento, e-mail, endereço, número do celular e detalhes sobre o valor e o pagamento da fatura.

Teles

Foram procuradas as quatro teles e a empresa de segurança PSafe.

Em nota, a Vivo disse que não houve vazamento em sua base de dados. “A Vivo reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade.”

A Oi disse que não há indício de vazamento de dados dos seus clientes. “A Oi entende que não é objeto de questionamentos no episódio, já que não se verifica nenhum indício de vazamento de dados de seus clientes, mas garante que vai colaborar com qualquer processo de esclarecimento que vier a ser conduzido por qualquer órgão. A empresa informou que mantém em sua operação “compromisso com os mais elevados padrões de segurança da informação e privacidade de dados, monitorando constantemente seus sistemas e requisitos técnicos, operacionais, legais e regulatórios associados à gestão de dados”.

As demais empresas ainda não se manifestaram.

Por Bruno Bocchini – Repórter da Agência Brasil 

*Atualizado às 19h30

FaceApp pode abrir porta para abusos com dados

Por Jonas Valente

(Agência Brasil/Reprodução)

Nos últimos dias, imagens de pessoas em versões mais velhas delas mesmas viraram a nova febre das redes sociais no país. O responsável por isso foi o aplicativo Faceapp, ferramenta para edição e aplicação de filtros a imagens, como a simulação das faces em idades mais avançadas ou em outros gêneros. Contudo, seu funcionamento e suas normas internas podem abrir espaço para abusos no uso e compartilhamento dos dados de seus usuários.

O FaceApp está disponível nas lojas de aplicativos Play Store (para o sistema operacional Android) e Apple Store (para o sistema operacional iOS). Na loja Play Store no Brasil estava listado em julho como o principal aplicativo na categoria gratuitos. Com nota 4,5 de 5, no momento da publicação desta reportagem, o app chegava perto de 1 milhão de downloads.

O programa é anunciado como uma ferramenta para melhorar fotos e criar simulações por meio de filtros. Nos modelos de edição há possibilidades de mudar cores do cabelo, aplicar maquiagem ou estilos de barba e bigode, entre outros. O sistema de inteligência artificial do app informa que pode encontrar “o melhor estilo para você”.

Política de privacidade

A política de privacidade do app traz informações sobre quais dados são coletados e quais são os usos possíveis. Segundo o documento, são acessados as suas fotos e “outros materiais” quando você posta. Quais outros materiais? O documento não detalha. A empresa adota serviços de análise de dados (analytics) de terceiros para “medir as tendências de consumo do serviço”. O que isso significa? Não fica claro.

“Essas ferramentas coletam informação enviada pelo seu aparelho ou por nosso serviço, incluindo as páginas que você acessa, add-ons e outras informações que nos auxiliam a melhorar o serviço”, diz o documento. São utilizados também mecanismos de rastreamento como cookiespixels beacons (que enviam dados sobre a navegação para a empresa e parceiros dela).

As informações “de log” também são enviadas, como quando o indivíduo visita um siteou baixa algo deste. A empresa também insere mecanismos para identificar que tipo de dispositivo você está usando, se um smartphone, tablet ou computador de mesa. Podem ser veiculados anúncios por anunciantes parceiros ou instalados cookiesdessas firmas.

Por meio dessas tecnologias a sua navegação passa a ser totalmente rastreada. Segundo a empresa, contudo, esse volume de informação é reunido sem que a pessoa seja identificada. “Nós coletamos e usamos essa informação de análise de forma que não pode ser razoavelmente usado para identificar algum usuário particular”, informa o app.

As políticas de privacidade afirmam que a informação não é vendida ou comercializada, mas listam para quem a informação reunida pode ser compartilhada para as empresas do grupo que controla o Faceapp, que também poderão utilizá-las para melhorar os seus serviços. Também terão acesso empresas atuando na oferta do serviços, que segundo o documento, o farão sob “termos de confidencialidade razoáveis”. O que são termos razoáveis? O usuário não tem como saber.

O compartilhamento poderá ser feito para anunciantes parceiros. Se a empresa for vendida, ela poderá repassar as informações aos novos acionistas ou controladores. De acordo com o documento, mudanças nos termos podem ser feitas periodicamente, sem obrigação de aviso aos usuários. Assim, a empresa possui um leque amplo de alternativas de compartilhamento sem que o usuário saiba quem está usando suas informações e para quê.

Riscos

A diretora da organização Coding Rights, Joana Varon, avalia que o uso do app traz uma série de riscos e viola a legislação brasileira ao afirmar que poderá ser regido por leis de outros países, inclusive o Artigo 11º do Marco Civil da Internet (Lei Nº 12.965).

Joana considera a política de privacidade do FaceApp muito permissiva, uma vez que não é possível saber quais dados serão utilizados, como e por quais tipos de empresas. Entretanto, ela acrescenta que certamente a empresa responsável e seus “parceiros” trabalham os registros reunidos para alimentar sistemas de reconhecimento facial, uma vez que o app gera um poderoso banco de dados, não só de fotos dos usuários como de outras pessoas para as montagens (como de amigos ou de celebridades).

Ela diz que isso resulta em um problema grave, uma vez que as tecnologias de reconhecimento facial têm se mostrado abusivas, como nas aplicações de segurança pública. As preocupações levaram cidades a banir esse tipo de recurso, como San Francisco, nos Estados Unidos, ou São Paulo, que proibiu o uso da tecnologia no metrô.

“As pessoas ficam empolgadas mas no fim tem uma finalidade muito além do que só essa brincadeira, que nem é tão clara. É claro que imagens estão sendo utilizadas para aperfeiçoar o reconhecimento facial, tecnologia que tem se mostrado totalmente nociva. Não é só identificação de pessoas, mas do humor e outras características que não são comuns a outros tipos de dados biométricos, como digital”, explica.

Venda de dados

Para Fábio Assolini, analista sênior de segurança da Kaspersky, é possível que essas imagens acabem sendo empregadas em usos problemáticos. “Por utilizar inteligência artificial para fazer as modificações a partir do reconhecimento facial, a empresa dona do app pode vender essas fotos para empresas desse tipo, além desses dados facilmente caírem nas mãos dos cibercriminosos e serem utilizados para falsificar nossas identidades”, diz.

Assolini diz que os usuários devem tomar cuidado sobre como disponibilizam suas imagens para reconhecimento facial ou até mesmo publicamente. “Temos que entender essas novas maneiras de autenticação como senhas, já que qualquer sistema de reconhecimento facial disponível a todos pode acabar sendo usado tanto para o bem quanto para o mal”.

Dados expostos

Na opinião do coordenador do grupo de pesquisa Estudos Críticos em Informação, Tecnologia e Organização Social do Instituto Brasileiro de Informação em Ciência e Tecnologia (IBICT), Arthur Bezerra, o argumento da parte de muitos usuários de que não haveria problemas no Faceapp, uma vez que os dados das pessoas já estão expostos na internet não procede. 

“Embora plataformas como o Google e o Facebook tenha uma enorme gama de dados sobre nós, cada empresa busca formar seu banco de dados. E o Faceapp é desenvolvido por uma empresa russa, então quando você faz o download, você está compartilhando suas informações com uma nova companhia que você não sabe qual é. Se eu dissesse por alguém para me dar a senha do Facebook, a pessoa provavelmente não daria, pois todo mundo tem uma dimensão privada da sua vida”, disse. 

Polêmicas

Modas como a do FaceApp já levantaram preocupações antes. Foi o caso do desafio dos 10 anos, que virou febre no Facebook no início do ano e provocou questionamentos pela alimentação de sistemas de reconhecimento facial. No ano passado, o Ministério Público abriu um inquérito para saber se a adoção dessa tecnologia pelo Facebook violava ou não a legislação.

Iniciativas em diversos países – como Estados Unidos, China e Rússsia – vêm sendo criticadas por defensores de direitos dos usuários. Empresas do setor, como a Microsoft, chegaram a pedir publicamente a regulação dessas soluções técnicas. No Brasil, o início da aplicação desses recursos pelo Sistema de Proteção ao Crédito no ano passado também foi acompanhado de receios.

Procuradores vão investigar vazamento de dados de clientes da C&A

Jonas Valente/Agência Brasil

O Ministério Público do Distrito Federal e Territórios (MPDFT) abriu inquérito para apurar o possível vazamento de dados de 2 milhões de clientes da cadeia de lojas de varejo C&A. Segundo a portaria, de autoria da Comissão de Proteção de Dados Pessoais do órgão, o objetivo é acompanhar as consequências da exposição indevida dos dados.

A denúncia se baseia em suposto vazamento noticiado por sítios especializados de tecnologia. Segundo relatos de um hacker, dados de 2 milhões de pessoas teriam sido divulgados de maneira não autorizada.

As informações vazadas seriam relativas a compras com vale-presente. Entre os dados publicizados estariam número do cartão de crédito, CPF, e-mail, valor da aquisição, número do pedido e data da transação. Segundo o hacker autor da informação, no total, teriam sido liberados registros de 4 milhões de pedidos.

Em nota, a C&A confirmou o recebimento do ofício e informou que vai responder às solicitações. “A empresa sofreu um ciberataque no seu sistema de vale-presente/trocas na última semana e, tão logo identificou o ocorrido, acionou seu plano de contingência e notificou as autoridades competentes”, relatou.

A empresa afirmou ainda que “está atuando ativamente para se adequar à nova  legislação brasileira sobre o tema que entrará em vigor em 2020. Reiteramos nosso sólido compromisso com uma atuação ética”.

*Matéria ampliada às 21h52 para incluir posicionamento da C&A