Reconhecimento facial
SP: Vazamento de dados desperta preocupação em condomínios
Polícia Civil investiga se ataque a sistema de reconhecimento facial expôs dados de moradores de condomínios no interior de SP
Administradora afirmou que uma empresa de segurança digital investiga o possível vazamento e que comunicou o caso às autoridades policiais.
Centenas de moradores de condomínios localizados na região de Jundiaí (SP) podem ter tido seus dados vazados na internet. As informações - que incluem documentos pessoais, e-mail, endereço, telefone e até mesmo foto - estariam à venda na dark web (entenda o termo abaixo) e em grupos do Telegram.
O caso veio à tona após uma denúncia anônima e é investigado pela Polícia Civil. Uma pessoa que se identificou como moradora de um condomínio em Jundiaí teria descoberto o vazamento após ser alvo de golpistas. "Já recebi ligações de falsos sequestros. Porque lá [base de dados] tem os dados das pessoas que moram comigo e telefone", conta.
Os dados expostos são do sistema de reconhecimento facial de uma empresa terceirizada que administra condomínios residenciais e comerciais nas região de Jundiaí, Campinas (SP) e também em Minas Gerais.
As informações foram disponibilizadas pelos criminosos em prints de cadastros do sistema, que incluem RG, CPF, data de nascimento, telefone, e-mail, modelo e placa do veículo e foto de autenticação.
"Recentemente instalaram reconhecimento facial e coletaram nossos dados pessoais. Vi a dos meus vizinhos de apartamento e sei que a foto foi tirada para o cadastro de portaria. Não me sinto seguro com essa empresa no condomínio", diz o morador, cuja identidade foi preservada pela reportagem.
Procurada, a empresa disse que foi alvo de tentativa de invasões recentemente, porém, o ataque foi neutralizado pelo sistema de segurança. Além disso, os responsáveis afirmam que nenhuma informação foi roubada dos servidores.
Conforme Renato Franchi, professor de segurança da informação do Instituto Federal de São Paulo, do campus Itapetininga (SP), é possível que os sistemas tenham sido invadidos por criminosos que não deixaram "rastros".
"Nem todo o sistema armazena todos os fluxos de acesso. Se não foi programado para fazer esta verificação, seria possível entrar, pegar os dados dos clientes e sair sem deixar registro."
Os dados, ainda conforme o especialista, também podem ter sido vazados por pessoas que tiveram acesso ao sistema e às senhas de funcionários da empresa.
Por telefone, a companhia afirmou que uma empresa de segurança digital investiga o possível vazamento e que comunicou o caso às autoridades policiais.
Infração
De acordo com a advogada Valéria Cheque, especialista em direito digital e crimes cibernéticos, o vazamento de dados pessoais é uma infração à Lei Geral de Proteção de Dados (LGPD) - que controla a privacidade e o uso de informações - e a prática pode gerar multa.
No que tange às informações pessoais, o artigo 52 da LGPD define sanções aos agentes de tratamento de dados, responsáveis por controlar e operar os dados.
A Autoridade Nacional de Proteção de Dados (ANPD), autarquia do governo federal, é responsável por fiscalizar e implementar a LGPD.
"Ela [ANPD] tem autonomia para decidir que tipo de metodologia e cálculo do valor base das multas que vai ser aplicado. É ela que vai definir através do regulamento próprio dela. Então pode ser desde uma advertência, uma multa simples de 2% do faturamento até o limite de 50 milhões, ou pode ser uma multa diária", explica a especialista.
Além disso, segundo Cheque, a Constituição Federal define a proteção de dados como um direito fundamental.
"A emenda constitucional 115, de 10 de fevereiro de 2022, altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais (...) nossos dados também estão protegidos aqui no artigo 5º da Constituição Federal, que versa sobre os direitos fundamentais, que são garantias com objetivo de promover a dignidade humana e proteger os cidadãos (...) Nossos dados são extremamente importantes."
Quem é responsável pelos dados?
De acordo com a LGPD, explica a advogada Valéria, os condomínios não são obrigados a indicar quem é responsável pelo tratamento de dados pessoais - processo que vai de coleta e processamento ao descarte das informações.
Apesar disso, "o condomínio vai ter que proteger desde os dados dos moradores até dos visitantes e também prestadores de serviço", ressalta a advogada.
"A partir do momento que eu estou dando os meus dados para o condomínio, eles são responsáveis, porque são dados sensíveis."
Nos confins da internet
A reportagem "mergulhou" na dark web para entender como funciona o comércio ilegal de dados. É nesta camada da internet em que atividades ilegais - como venda de drogas, armas, pornografia infantil e até contratos para assassinatos - acontecem deliberadamente.
Em fóruns, hackers anunciam e compartilham arquivos com milhares de informações confidenciais. A maioria dos bancos de dados expostos é de grandes empresas e órgãos governamentais, como o DataSUS, do Ministério da Saúde (MS), que expôs pelos menos 243 milhões de brasileiros.
Alguns dados são compartilhados gratuitamente. Outros são vendidos por valores milionários, conforme tipo e tamanho do conjunto de dados. A transação ocorre, em sua maior parte, por meio de bitcoin ou outras criptomoedas.
Fonte: https://g1.globo.com/sp/sorocaba-jundiai/noticia/2024/05/05/policia-civil-investiga-se-ataque-a-sistema-de-reconhecimento-facial-expos-dados-de-moradores-de-condominios-no-interior-de-sp.ghtml