Empresa brasileira lança token que rastreia e dá alerta em caso de vazamento de dados

Vazamentos e sequestros de dados têm se tornado cada vez mais comuns nos últimos anos, a partir de um contexto de digitalização apressada, práticas comerciais predatórias e dificuldade de rastrear e punir crimes digitais. Como resultado, relatos do tipo estão pipocando em 2021, o que preocupa empresas, consumidores e está, inclusive, virando treta política entre Estados Unidos e China. 

Entre os ataques de ransomware a lista é extensa, sendo que a exposição da norte-americana Colonial Pipeline é uma das mais notáveis por ter atingido a infraestrutura dos EUA em abril. Também nos EUA, a brasileira JBS foi alvo de um ataque em maio e pagou resgate de US$ 11 milhões em bitcoin pelas informações. Já no Brasil, mais recentemente, dados do Grupo Fleury foram comprometidos e prejudicaram a operação dos laboratórios por dias, em plena pandemia.

Assim como no caso das empresas, os vazamentos de dados de pessoas físicas estão escalando. Em junho, 8,4 bilhões de senhas teriam sido divulgadas na deep web, o que configuraria o maior vazamento da história. 

Em números: no Brasil, os vazamentos de credenciais cresceram 785% nos cinco primeiros meses de 2021 na comparação com o mesmo período de 2020. Além disso, entre abril e maio deste ano, foram detectadas mais de 56,7 milhões credenciais expostas, o que indica um crescimento de 355,75% em relação ao primeiro trimestre do ano.

Os dados obtidos com exclusividade pelo CNN Brasil Business são da Axur, empresa especializada em monitoramento de riscos e ameaças digitais, que acaba de lançar o Axur Tokens. Trata-se de um rastreador de base de dados, desenvolvido para empresas, cujo principal objetivo é mitigar as consequências de um vazamento de informações. 

Na prática, os “sensores” são previamente embutidos nas bases ou em um grupo de dados específicos. E, caso ocorra algum vazamento, alertam as empresas de modo que possam atuar rapidamente para segmentar o problema: identificando quais informações foram expostas e minimizando os riscos relacionados à Lei Geral de Proteção de Dados (LGPD). 

Além disso, os tokens possibilitam determinar com precisão a causa do vazamento. Se foi um problema interno da empresa ou se foi causado, por exemplo, por um compartilhamento de dados dos clientes e colaboradores de forma errônea ou não autorizada por parte de um parceiro da companhia. 

“Hoje, empresas do mundo todo criam e operam grandes volumes de dados. Nessa linha, a Axur monitora a superfície da internet (acessível pelo Google), assim como deep e dark web, em busca de riscos digitais. Mas, quando os dados vazam, há uma dificuldade para identificar sua propriedade, já que há milhares de bases semelhantes”, diz Fabio Ramos, CEO e fundador da empresa.

“Com o token, colocamos uma espécie de marca d’água nas informações, facilitando sua identificação, caso apareça em uma das cerca de 300 fontes monitoradas pela empresa. Entre elas estão, por exemplo, grupos de Telegram e Whatsapp, além de fóruns especializados em venda de dados. Cerca de 98% do trabalho é automatizado, mas nossos especialistas participam do processo caso necessário.”

O executivo explica que a empresa estuda padrões de vazamentos e, a partir disso, segue uma série de parâmetros no momento da inserção dos sensores. Quanto maior a base, mais sensores são necessários, por exemplo. Os tokens devem ainda carregar um registro temporal, o que permite descobrir se aquela base é recente. 

“Também podemos inserir emails na base e, caso o endereço receba mensagens, conseguimos identificar se aqueles dados foram comercializados. Não podemos abrir nossa carteira de clientes por questão de segurança, mas muitos já utilizaram o produto em testes no ano passado e estão incorporando de vez esse ano”, diz.

Ramos alerta que os vazamentos que estão ocorrendo em 2021 ainda terão repercussões para os consumidores durante os próximos dois a três anos. Mais profundamente, entende que, para que as ocorrências diminuam a longo prazo, eventualmente será preciso acabar com as senhas de acesso e passar a usar identificação biométrica, que garante mais segurança.

O que diz a LGPD

Em vigor desde 2019, a Lei Geral de Proteção de Dados (LGPD) começará a aplicar sanções em agosto deste ano, mês em que as empresas serão obrigadas a prestar contas sobre qualquer vazamento de dados atribuído a elas pelas autoridades. As multas podem chegar a R$ 50 milhões, com possível bloqueio de informações.