O perigoso jogo da desinformação sobre megavazamentos e seus reais objetivos (parte 1)

Volto aqui a questionar os reais objetivos do noticiário que vem circulando sobre “megavazamento de bancos de dados”, que vem ocupando nas últimas semanas a agenda de uma imprensa que não lida diariamente com o assunto.

Desde que começou o noticiário, existem dúvidas se realmente existiu um “megavazamento”, como fruto de um ataque hacker. Ou se os bancos de dados contendo informações de brasileiros não passariam da consolidação de diversos arquivos que foram roubados nos últimos anos de empresas e órgãos públicos (aqui insiro as estatais também, embora não sejam diretamente as culpadas pela questão).

Existem dúvidas até mesmo se esses bancos de dados contém essa enormidade toda de informações de brasileiros. Alguém viu isso? Checou com profundidade esses dados? Até agora tudo o que se tem são informações de uma empresa interessada em divulgá-las com fins comerciais, ganhando inclusive notoriedade nacional. Estratégias que vem dando certo.

Busquei no mercado especialistas que estejam desconfortáveis em corroborar com o noticiário vigente e encontrei dois. Thiago Bordini – Diretor de Inteligência Cibernética do Grupo New Space e o Advogado Walter Aranha Capanema, especialista em Direito Digital, diretor de Inovação e Ensino na Smart3 Consultoria e Treinamento.

Thiago Bordini elaborou um estudo técnico, que vem circulando em grupos fechados que tratam de assuntos sobre Segurança da Informação no Brasil. Ele levanta dúvidas sobre o assunto logo no seu título: “O maior vazamento de dados pessoais do Brasil. Será mesmo?”

Como não consegui contato e autorização dele para divulgar o estudo na íntegra ( não o conheço pessoalmente, ainda), apenas abordarei o teor desse estudo.

Thiago contradiz logo de cara, por exemplo, a informação de que o banco de dados obtido pelo suposto “megavazamento” esteja sendo vendido na dark web. Não, ele encontrou provas de que esse banco de dados pode ser acessado na Internet, bastando para isso pesquisa qualificada no Google.

“A base de dados não estava sendo vendida no submundo da rede, mas sim em fóruns na internet”, destacou.

Outra questão que coloca em dúvidas a informação de que um suposto ataque hacker foi bem sucedido e gerou esse “magavazamento”: Em contato direto com com o vendedor desses dados, Thiago Bordini obteve a informação de que o cibercriminoso tem uma base “que vem sendo comercializada e contém dados compilados até agosto de 2019”, num total de mais de 2 terabytes de informações.

O especialista também obteve a informação de que a consolidação dessa base de dados, que é formada por diversos arquivos roubados nos últimos anos, demorou cerca de um ano e meio para ficar pronta.

Esse estudo chegou ao meu conhecimento por intermédio de uma palestra que assisti ontem no YouTube, promovida pela Escola Judicial do Tribunal Regional do Trabalho do Estado do Paraná, proferida pelo Advogado e especialista em Direito Digital, Walter Aranha Capanema.

Nesse vídeo que estou postando com parte da palestra, Capanema mostra os principais achados de Thiago Bordini em seu estudo. Que pode colocar uma luz nessa discussão até agora obscura e que ganhou ares de pânico geral sobre “megavazamentos” no Brasil.

O único benefício que se pode extrair até agora sobre essa sucessão de notícias desencontradas sobre “megavazamentos”, é de que o tema nos leva de volta a uma velha discussão, nunca concluída: empresas e governos têm falhas, sim, nas suas áreas de Segurança da Informação.

Seja por falta de recursos, seja por pouco interesse em investir nessa área ou, ainda, seja simplesmente por incompetência técnica.