Não podemos ser alarmistas, mas temos que ser realistas: vivemos num mundo em que, a partir do momento em que assinamos um contrato para um cartão de crédito ou uma conta, perdemos o controlo por completo, quanto ao que depois é feito com estes dados. Por regra, os nossos dados financeiros acabam cruzados e passados de empresa em empresa, arquivados para referência futura e tornam-se a matéria prima de negócios de milhões de Euros. A maioria das empresas assegura-se que estes dados estão fechados a sete chaves, mas nem sempre a fechadura ficou trancada. Dezenas de agências de crédito depredam estes dados sensíveis como abutres e muitas vezes não o fazem com o mínimo de sensibilidade para com a importância dos dados à sua guarda. Que o digam a Alteryx e a Experian, que conseguiram expor dados altamente sensíveis de mais de 120 milhões de famílias Americanas.
Vou começar pelo topo do icebergue: as duas empresas não são directamente conhecidas do público Português, mas a Experian é uma das maiores agências de gestão de dados de crédito e bancos de dados em todo o mundo, com operações em 44 países. Entretanto, a Alteryx é uma especialista em análise de dados para marketing. Nem a dimensão, nem o facto de serem empresas especialistas no seu ramo impediu a Experian de já ter estado no centro de uma mega fuga de informação que expôs mais de um milhão de clientes da Americana T-Mobile.
Agora, face à exposição de dados altamente sensíveis referentes a 123 milhões de lares Americanos, ambas as empresas jogam o jogo da calma. Em resposta ao escândalo, a Alteryx declarou ter removido o ficheiro com os dados comprometidos e tomado providências para impedir o problema de acontecer de novo. Ainda mais importante, a Alteryx considera que os dados comprometidos não são significativos porque são anónimos e não continham dados privados. Já a Experian recusou-se a prestar mais declarações, já que embora fossem dados seus comprometidos, o problema deu-se na Alteryx.
Não é assim tão simples.
Os dados profundos de milhões ao alcance de um clique
Portanto vamos aos dados: ao todo, foram expostos dados de cerca de 123 milhões de lares ou famílias, numa gigantesca base de dados que incluía 248 categorias de informação por cliente. Contas feitas, temos mais de trinta mil milhões de informações individuais comprometidas, mas ao cruzarmos os dados temos mais de três biliões e meio de pontos de dados identificáveis.
Os dados são assustadoramente amplos e incluem não só dados financeiros como dados bancários, salários e hipotecas, mas também interesses, dados étnicos ou endereços e números de telefone, já que se tratam de dados cruzados com o gabinete dos censos. A lista da Alteryx é, no entanto, assustadoramente ainda mais profunda: categorias como latitude, longitude, valor estimado da habitação, são extremamente delicadas e refinadas quanto à capacidade de se conseguir identificar com grande exactidão a localização da casa a que pertence uma linha de dados, mesmo se outros dados como o número da porta não estivessem presentes.
Cruzados, estes dados podem ser extremamente preciosos para burlões e hackers, já que permitem com grande certeza chegar a pessoas específicas para criar esquemas de roubo de identidade ou colecção de dívidas fantasmas. Neste último caso, munido com informações altamente personalizadas, um burlão pode facilmente coagir uma vítima a pagar uma dívida que não possui, mas que poderá pensar possuir, pois do outro lado do email ou telemóvel estarão a fornecer-lhe informações financeiras e pessoais muito realistas.
Informação disponível livremente por engano.
O mais extraordinário em tudo isto é que os dados não apareceram na Internet devido a um roubo, mas a um erro grosseiro por parte de alguém na Alteryx. Chris Vickery, director de investigação de risco cibernético na UpGuard, descobriu um directório de informação na S3cloud da Amazon Web Services. Tratava-se de uma extensa base de dados que a Alteryx deveria fornecer a clientes devidamente autenticados mas que, por lapso, estava acessível a qualquer utilizador autenticado com uma conta AWS.
Portanto qualquer pessoa entre vários milhões de internautas poderia simplesmente encontrar o directório e puxar toda a informação e não há como realmente saber neste momento se tal não foi feito.
Ter uma conta na Amazon Web Services é fácil e gratuito. Qualquer pessoa pode neste momento inscrever-se, confirmar o email, e passaria a ter acesso ao directório da Alteryx sem mais problemas.
Negação implausível
Face ao perigo que estes dados representam, permitindo facilmente chegar aos nomes das pessoas a cujos dados pertencem, a defesa da Alteryx não é, nem pode ser convincente. Há um efeito sistémico em todo o processo que mostra como a constante troca de dados entre agências financeiras vai enfraquecendo a segurança destes dados.
O extraordinário nesta fuga de informação é como se conseguiram compilar e expor dados de duas empresas diferentes e uma agência governamental num único ficheiro. Que se saiba, o gabinete Americano dos censos nunca sofreu uma fuga de informação desta magnitude. Os seus dados estão, de resto, disponíveis de modo aberto. Mas, quando os dados foram aglomerados pela Alteryx, tornaram-se peças num puzzle muito maior e acabaram por ser parte de uma arma poderosa.
O problema tem-se verificado por diversas vezes e realça como estão a aumentar os riscos de fugas de informações sensíveis fornecidas por um agente a outro com deficiências de segurança. Os sistemas podem estar instalados, mas erro humano grosseiro acaba por colocar tudo em risco. Foi o caso com a recente fuga de informação da Equifax, que expôs dados da segurança social de milhões de Americanos, graças a uma vulnerabilidade no software Struts do Apache. A vulnerabilidade era conhecida, mas bastou que apenas uma pessoa falhasse e não implementasse o patch, e todo o problema se criou.
Segundo os investigadores responsáveis por esta descoberta na UpGuard, existe hoje um emaranhado de empresas que negoceiam entre si estas informações sensíveis, e cada empresa tem pouca ou nenhuma possibilidade de conhecer as vulnerabilidades de segurança das empresas a quem vende os dados. Seria de esperar que estes dados só fossem expostos com ataques direccionados de hackers, mas a esmagadora maioria dos dados filtrados só o são por acidente ou por configurações erradas a nível informático.
Não vamos mais longe: alguém na Essential conseguiu reenviar para todos os indivíduos numa lista de emails os dados de cartão de crédito de todos os restantes membros, devido a uma simples configuração errónea no servidor de email.
Como é que os legisladores podem proteger os consumidores? É altura de começarem a pensar seriamente na questão.