Especialistas ouvidos pelo Estadão afirmam que situação coloca parlamentares em situações de risco e vulneráveis à violência política
Plenário da Câmara dos Deputados. Foto: Ag. Câmara
Por Cindy Damasceno, Natália Santos, Lucas Thaynan e Bruno Ponceano
Deputados federais e senadores tiveram informações privadas expostas após serem vítimas de vazamentos de dados. A divulgação ilegal de senhas e endereços físicos e virtuais partiu da ineficiência de segurança dos registros de usuários em redes sociais, lojas virtuais e sites de financiamento coletivo. Ao todo, 83 congressistas foram afetados entre 2012 e 2022.
Especialistas ouvidos pelo Estadão afirmam que a disponibilidade ilegal de conteúdos sobre a vida privada dos parlamentares pode colocar pessoas de interesse público em situações de risco, transformando-os em alvos vulneráveis de violência política e ameaças. Esses incidentes também estreitam o limite entre a vida particular e a vida pública das autoridades.
Público versus privado
Vazamentos de dados ocorrem quando informações confidenciais são indevidamente acessadas, coletadas ou até mesmo repassadas a terceiros para venda em mercados ilegais.
Esses incidentes não nascem necessariamente de um ataque hacker; eles podem ocorrer por desatenção na gestão dos dados ou por erro na execução de processos de segurança.
Políticos não são os únicos afetados pela divulgação não autorizada desses conteúdos. Qualquer pessoa está suscetível a esse tipo de ocorrência, a exemplo do megavazamento de 2023.
Na ocasião, 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos se tornaram públicos e, posteriormente, foram postos à venda em fóruns na internet.
No caso dos parlamentares, nem todo vazamento evidencia uma informação confidencial, já que data de nascimento, raça e gênero – considerados detalhes sensíveis de acordo com a Lei Geral de Proteção de Dados (LGPD) – estão disponíveis no site do Tribunal Superior Eleitoral (TSE), devido aos registros de candidaturas.
Entretanto, Bruno Bioni, diretor fundador do Data Privacy Brasil, afirma que mesmo uma informação simples pode ser cruzada com dados já disponíveis, o que pode resultar na descoberta de novos detalhes – até então ocultos – sobre a vítima do vazamento.
“Há incidentes de segurança espalhados em diferentes bases de dados, o que é preocupante pelo potencial de cruzamento entre esses dados, que pode levar a inferências sensíveis”, disse.
Endereços de IP, uma espécie de “CEP virtual” atribuído a cada dispositivo conectado à rede de internet, foram divulgados, segundo levantamento do Estadão. Essa informação permite identificar o local de onde a conta foi acessada. Assim, com esse dado, o endereço físico frequentado pela pessoa pública – desde um café ou até mesmo uma residência – pode ser identificado.
Outras informações como endereço físico e localização geográfica também foram vazados, revelando outros espaços que os deputados e senadores frequentam. Nas duas situações, os dados divulgados expõem os parlamentares ao oferecer pistas sobre a vida privada.
O levantamento do Estadão também concluiu que senhas de e-mails institucionais foram vazadas. Os endereços de correio eletrônico dos parlamentares são públicos e, com essas senhas, qualquer pessoa poderia tentar acessar as mensagens trocadas pelo parlamentar. Esse fato pode colocar em risco informações confidenciais.
Bioni explica que, caso informações privadas das autoridades sejam acessadas, elas podem funcionar como instrumento para violência política.
“O político, estando exposto e vulnerável, pode ser alvo de algum tipo de chantagem ou de um outro ilícito que pode comprometer a integridade do mandato neste sentido”, disse.
“É importante que essas pessoas, não somente parlamentares, mas quem está no Executivo e no Judiciário também, tenham cuidados mínimos relacionados à segurança da informação.”
Por isso, qualquer dado precisa ser guardado com cautela, porque não existem informações mais ou menos comprometedoras, segundo Walter Gaspar, advogado e pesquisador do Centro de Tecnologia e Sociedade da Fundação Getulio Vargas (CTS-FGV).
“Não existe dado que não tenha valor. Todos eles podem vulnerabilizar as pessoas de formas bastante radicais”, disse.
De onde vem e para onde vão os dados vazados?
No caso de ataques hackers, existe uma “logística virtual” por trás dos episódios de vazamento. Os criminosos miram em empresas com número expressivo de usuários e se aproveitam de lacunas na proteção para acessar as informações armazenadas pela “organização-alvo”.
Esses conteúdos são coletados e, posteriormente, colocados à venda em varejos virtuais, onde há uma clientela interessada nesses dados.
A disponibilidade dessas informações é consequência de vários fatores. Se, por um lado, não há uma cultura de segurança digital entre os usuários, por outro, há pouco controle sobre o ciclo de vida do uso dos dados em plataformas e serviços.
“Um dado nasce, cresce e deveria morrer. Muitas vezes, esses incidentes de segurança estão relacionados à estocagem desgovernada e permanente de dados”disse Bruno Bioni – Data Privacy Brasil.
Rodolfo Avelino, especialista em Segurança da Informação e professor do Insper, ressalta que existe uma sensação de segurança muito grande na tecnologia. “As pessoas sobem fotos em sites que elas não conhecem”, disse.
O agravante é que, uma vez divulgados na rede, esses dados podem ser replicados em outros ambientes, sendo difícil mapear onde estão sendo utilizados.
“A chave da porta da minha casa só abre a minha casa. Agora, o meu e-mail é uma porta de entrada para vários serviços que tenho”, afirma Rodolfo Avelino, Professor de cibersegurança e tecnologias hackers do curso de Engenharia de Computação do Insper.
Em todos esses conjuntos de dados vazados, há uma informação em comum: o endereço de e-mail, explica Avelino. Assim, quanto maior o número de serviços ligados ao correio eletrônico corrompido, maior a variedade de detalhes pessoais que podem ser mapeados a partir dele.
Apesar disso, estar entre as vítimas dessas ocorrências não significa, necessariamente, um comportamento displicente na segurança digital.
O que dizem as autoridades
No Brasil, o órgão responsável por monitorar incidentes de segurança é a Agência Nacional de Proteção de Dados (ANPD), regulamentada pela LGPD. A legislação brasileira exige que as empresas notifiquem incidentes de comprometimento de dados. Na prática, porém, as comunicações são escassas, segundo Bruno Bioni.
Apenas 473 casos foram repassados para a agência até dezembro de 2022, segundo último relatório divulgado pela entidade. É um número abaixo do percebido em outros países: o Reino Unido, por exemplo, recebeu mais de 600 comunicações de incidentes cibernéticos por trimestre no mesmo período.
Em nota, a ANPD informou que contabiliza quaisquer incidentes de segurança que tenham sido reportados pelos controladores e que possam resultar em risco ou dano aos titulares. O órgão ainda afirmou que não há categorização específica para quando o incidente ocorre com parlamentares.
A Câmara dos Deputados informou que adota protocolos para prevenir incidentes de segurança que comprometam a integridade e a confidencialidade dos sistemas digitais da Casa. Sobre a presença de contas institucionais em vazamentos, respondeu, em nota, que o ocorrido “não significa que a conta ou a senha utilizada ainda esteja vulnerável”.
O Senado Federal informou que as contas institucionais dos parlamentares estão sujeitas a sistemas de segurança e que a Casa possui serviços que informam em caso de vazamento de dados ou tentativas de ataques externos. Em nota, o órgão afirmou ainda que oferece orientações de uso e proteção de e-mails institucionais que podem também ser aplicadas nas contas particulares dos senadores.
Entenda a metodologia
Para realizar o levantamento, o Estadão utilizou a plataforma Have I Been Pwned, repositório virtual de vazamentos de dados. A ferramenta permite mapear incidentes ligados a uma determinada conta de e-mail. Foram contabilizados vazamentos verificados pela plataforma e que permanecem ativos.
A reportagem considerou apenas incidentes que ocorreram durante mandatos dos parlamentares no Congresso. A análise foi feita com todos os 594 senadores e deputados.
E-mails institucionais são os contatos funcionais dos parlamentares, com domínios @camara.leg.br e @senado.leg.br. Já os particulares são os que constam nos requerimentos de registro de candidatura, disponibilizados no TSE. Contatos relacionados a assessorias jurídicas ou partidos foram descartados. Nenhum dado foi armazenado.
Da Redação com informações do Estadão