Link-2-Secure

Cybersecurity and data breach news

Dane wrażliwe 223,000,000 Brazylijczyków ujawnione i sprzedane w Darknecie

Organizacja praw konsumentów wezwała do podjęcia pilnych działań w celu zbadania i ukarania osób odpowiedzialnych za ujawnienie danych ludności, jak również do lepszego informowania obywateli i zwiększenia transparentności.

Dados de 223.000.000 de brasileiros expostos e vendidos em Darknet

Brazylijski rząd wezwany do ochrony konsumentów przed masowymi wyciekami danych.

Organizacja praw konsumentów wezwała do podjęcia pilnych działań w celu zbadania i ukarania osób odpowiedzialnych za ujawnienie danych ludności, jak również do lepszego informowania obywateli i zwiększenia transparentności.

Brazylijska organizacja zajmująca się ochroną praw konsumentów wezwała rząd federalny do podjęcia natychmiastowych i pilnych działań w celu ochrony obywateli, których dane osobowe zostały ujawnione w Internecie.

Zawiadomienia wysłane przez Brazylijski Instytut Ochrony Konsumentów (IDEC) do kilku agencji rządowych odnoszą się do masowego wycieku danych, w wyniku którego dane 223 milionów Brazylijczyków, począwszy od nazwiska, adresu, po bieżące dochody, informacje o pojazdach osobowych i zeznania podatkowe, zostały ujawnione i sprzedane w darknecie.

Ponadto wyciek obejmował również informacje z Mosaic, które są modelem segmentacji konsumentów wykorzystywanym przez Serasa, brazylijską filię międzynarodowej firmy Experian zajmującej się badaniami kredytowymi, a które zostały ujawnione w Internecie i wystawione na sprzedaż. Incydent, który został odkryty przez firmę cyberbezpieczeństwa Psafe w styczniu, i jest uważany za najbardziej znaczący wyciek danych w Brazylii.

Według IDEC, skala i zakres sytuacji wymaga wprowadzenia regularnych działań kontrolnych w odniesieniu do dużych baz danych, takich jak biura kredytowe, które mogły być źródłem wycieku. Organizacja praw konsumentów zauważyła również, że wycieki danych w Brazylii stały się „niedopuszczalną rutyną” i że jednym ze sposobów na zmniejszenie prawdopodobieństwa takich zdarzeń jest zapobieganie tworzeniu baz danych konsumentów bez żadnych ograniczeń i umożliwienie konsumentom rezygnacji z nich.

„To, co mamy dzisiaj, to jedna pewność, że obywatel jest całkowicie bezradny. Strach jest stały, a liczba prób oszustw rośnie każdego dnia ze względu na ilość danych, które wyciekły” – wskazuje prawnik IDEC, Michel Roberto de Souza. „Instytucje muszą prowadzić dochodzenia i karać, ale muszą też informować i instruować obywateli o tym, co się dzieje. Potrzebujemy dużo przejrzystości, a także odpowiednich i działających na czas rozwiązań.”

8 lutego 2021 firma Experian wydała oświadczenie, w którym poinformowała, że prowadzi „szczegółowe dochodzenie” w sprawie ustalenia, czy „niektóre z [ujawnionych danych] mogły pochodzić z jej baz”.

Z drugiej strony firma argumentowała, że dane oferowane do sprzedaży online „zawierają zdjęcia, numery ubezpieczenia społecznego, rejestracje pojazdów i dane logowania do mediów społecznościowych, których Serasa nie gromadzi ani nie przechowuje”. Ponadto Experian stwierdził, że „nie ma dowodów” na to, że dane kredytowe zostały nielegalnie uzyskane od Serasy, ani że systemy informatyczne firmy zostały naruszone.

Według IDEC, ujawnienie danych stanowi poważne naruszenie ogólnych przepisów o ochronie danych, a także brazylijskiego kodeksu ochrony konsumentów, ze względu na nieprzestrzeganie środków bezpieczeństwa, jak również poważne naruszenie obowiązków w zakresie bezpieczeństwa i informacji w ramach świadczenia usług.

W dokumentach przesłanych do władz, Instytut domaga się bardziej skutecznych środków i „solidnej współpracy” ze strony niedawno utworzonego Narodowego Urzędu Ochrony Danych (National Data Protection Authority) i Narodowego Sekretariatu Konsumentów (National Consumer Secretariat) z Policją Federalną, Prokuraturą i Kongresem Narodowym.

Ponadto IDEC zwraca uwagę na konieczność zaangażowania Banku Centralnego, który reguluje działalność Serasy, ze względu na duże wątpliwości co do możliwości, że „przynajmniej część danych” pochodzi z tej firmy.

Według instytutu praw konsumentów, zakres i ryzyko związane z tym incydentem wymagają „skoordynowanego działania wszystkich właściwych organów w celu zapewnienia skuteczności i szybkości prowadzenia dochodzeń oraz przyjęcia środków niezbędnych dla bezpieczeństwa konsumentów”.

Ponadto IDEC argumentował, że wśród niezbędnych działań znajduje się „plan awaryjny mający na celu zminimalizowanie szkód spowodowanych wyciekiem, a także szeroko zakrojone informowanie o incydencie, wraz z uruchomieniem strony internetowej zawierającej informacje o danych, które zostały ujawnione, jak również szerokie rozpowszechnianie informacji o koniecznych środkach ostrożności w celu uniknięcia oszustw z wykorzystaniem pozyskanych danych oraz mechanizmów monitorowania korzystania z numerów identyfikacyjnych w rejestrach podatników.”