Mais de 200 milhões de brasileiros expostos com nova falha do Ministério da Saúde
No final do mês de novembro (26), 16 milhões de brasileiros tiveram seus dados pessoais e médicos expostos, em decorrência do vazamento de senhas dos sistemas do Ministério da Saúde. Até mesmo figuras do alto escalão foram vítimas, como o Presidente Jair Bolsonaro, o Ministro da Saúde Eduardo Pazuello, o deputado Rodrigo Maia e o governador João Doria .
A divulgação dos dados foi resultado da ação de um funcionário do Hospital Albert Einstein que publicou uma lista de usuários e senhas, permitindo o acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por Covid-19 em todos os estados brasileiros.
A partir das informações divulgadas, era possível conhecer detalhes do histórico clínico dos pacientes, como doenças preexistentes, além de medicamentos ministrados durante o tratamento.
Ainda, na quarta-feira passada (2), houve nova falha do Ministério da Saúde, que dessa vez afetou mais de 200 milhões de brasileiros, divulgando dados como CPF, nome completo, endereço e telefone, até mesmo de pessoas falecidas. O curioso do último vazamento é que o Estadão, ao observar os dados com mais atenção, pôde verificar que algumas personalidades públicas tiveram alguns campos preenchidos com conteúdo ofensivo ou sarcástico.
O vazamento se deu novamente pela exposição indevida de senhas de acesso ao sistema do Ministério da Saúde (e-SUS). Contudo, ressalta-se que a fragilidade na segurança dos dados no sistema do Ministério (e-SUS) já havia sido apontada desde junho pela ONG Open Knowledge Brasil, que além de demonstrar a vulnerabilidade na proteção dos dados, afirmou que teve dificuldades para realizar a denúncia sobre essa falha à pasta.
Enfrentamento ao assédio e à violência política contra mulheres aparece em debate
O assédio e violência política contra as mulheres ainda se faz muito presente, segundo uma pesquisa realizada pelo InternetLab em parceria com a Revista AzMina e o MonitorA. Constatou-se que 123 candidatas à vereança e prefeitura (de esquerda, centro e direita) monitoradas durante as eleições recebiam em média 40 xingamentos por dia somente no Twitter. Por sua vez, durante o segundo turno, observou-se que até mesmo as apoiadoras das candidatas também sofriam ataques nas redes sociais.
Um projeto de lei sobre o tema foi apresentado na Câmara dos Deputados na última semana. Este visa criar mecanismos de enfrentamento ao assédio e à violência política contra mulheres candidatas e no exercício da vida política . Para atingir seu objetivo, o PL nº 5295/2020 se baseia em Convenções que buscam erradicar a violência contra a mulher e penaliza nos âmbitos cível e administrativo quem descumprir suas disposições, sendo exemplos os “atos, comportamentos e manifestações individuais ou coletivos de violência política e perseguição que, direta ou indiretamente, afetam as mulheres no exercício da atividade parlamentar e de funções públicas”. O PL busca contribuir com a definição do que constituiria assédio e violência política, conceitos estes que devem guiar a interpretação dos demais dispositivos.
Na mesma semana de apresentação do PL, foi realizado um seminário na Câmara onde parlamentares pontuaram que a violência política de gênero prejudica o desempenho eleitoral das mulheres. Entre os debates levantados, estavam a violência política, a paridade de gênero e os ataques online, com especial destaque para a sub-representação: mesmo sendo mais de 51% da população, mulheres representam somente 16% do total de vereadores e 12% de prefeitos eleitos em 2021.
Dois pólos no foco: o combate ao discurso de ódio e fake news e investigações antitruste
Na quarta-feira passada (2) o Twitter anunciou mudanças nas suas diretrizes sobre propagação de ódio, sendo a terceira vez que a aplicação atualiza suas políticas para combater este tipo de discurso. Assim, publicações que possuam conteúdos que degradem as pessoas com base em sua etnia, raça ou nacionalidade serão removidos da rede social.
Já o Facebook revelou que irá remover fake news sobre as vacinas contra a COVID-19, aplicando a mesma regra ao Instagram. A rede social afirma que a remoção do conteúdo acontecerá nos casos em que especialistas na área da saúde pública já tiverem negado a veracidade da informação.
Em um comunicado, o Facebook alegou que “esta é mais uma aplicação da nossa política que permite remover desinformação sobre o vírus que pode causar danos físicos iminentes. Isso pode incluir alegações falsas sobre a segurança, eficácia, ingredientes ou efeitos colaterais das vacinas”.
Após denúncias recebidas, TSE e WhatsApp anunciam o banimento de mais de mil contas no país
O Tribunal Superior Eleitoral (TSE) e o WhatsApp anunciaram o banimento de mais de mil contas reportadas na plataforma de denúncias conjunta por suspeitas de disparos de mensagens em massa no aplicativo. De acordo com o canal de denúncias do TSE, que é parte do Programa de enfrentamento à Desinformação da Corte Eleitoral, no período de 27 de setembro a 15 de novembro, primeiro turno das eleições, o canal com o TSE recebeu 4.759 denúncias, porém 129 foram desconsideradas por não estarem relacionadas às eleições. Ao todo, 4.630 casos foram enviados ao WhatsApp para verificação de possível violação dos Termos de Serviço. Além do canal de denúncias, a parceria entre o TSE e o WhatsApp também inclui outras três iniciativas: a criação do “Tira-dúvidas no WhatsApp” – um chatbot para facilitar o acesso dos eleitores a informações relevantes sobre as eleições, a realização de cursos de capacitação para servidores dos Tribunais Regionais Eleitorais (TREs) sobre como combater a desinformação nas plataformas digitais, e a disponibilização de um pacote de figurinhas para incentivar o engajamento dos eleitores no processo eleitoral.
Novos desdobramentos das invasões hackers ao Tribunal Superior Eleitoral
O ataque hacker ao sistema do Tribunal Superior Eleitoral têm novos desdobramentos: no fim do mês de novembro em uma parceria entre a Polícia Federal brasileira e a polícia portuguesa resultou na prisão do líder do grupo CyberTeam, este que reivindicou a autoria do ataque ao tribunal e de outros ataques orquestrados tanto ao Ministério da Saúde, quanto ao Tribunal Regional da 1.ª Região (TRF1). Além disso, a justiça após a Polícia Federal identificar a ligação entre o hacker português e brasileiros, decretou a quebra de sigilo de e-mails para viabilizar as investigações e a busca e apreensão de documentos, roteadores de internet e dispositivos eletrônicos capazes de armazenar dados, como pendrives, smartphones, tablets, notebooks e aparelhos celulares.
Segundo os dados coletados nas investigações, o autor português foi o responsável por articular o ataque, realizando duas tentativas de acesso ao sistema sozinho e não obtendo êxito, ele sugeriu a invasão aos hackers brasileiros, que teriam sido os responsáveis por localizar a área virtual considerada vulnerável. As apurações apontaram sete tentativas de acesso em 15 de novembro, data do primeiro turno das eleições municipais, e outras dez quatro dias depois.
A justiça eleitoral ainda precisou desmentir que o ataque tivesse atingido o sistema de votos do TSE, mostrando que a área afetada foi a de recursos humanos, sem nenhuma interferência na contagem dos votos ou na urna eletrônica. A Polícia Federal também precisou atuar para desmentir que o ataque possa estar ligado as fake news descredibilizando as urnas eletrônicas, que inclusive foram alvo de investigação durante o segundo turno a pedido do Ministro Luís Roberto Barroso.
Combate à desinformação no Brasil e na União Européia
A desinformação continua sendo tema importante no legislativo brasileiro: no último dia 03, foi proposto por Roberto de Lucena (PODE) um Projeto de Lei sobre o enfrentamento do processo de desinformação nas eleições. As principais medidas do PL 5347/2020 giram em torno das plataformas digitais, as quais teriam de criar um recurso denominado “megafone” para que os tribunais eleitorais consigam disponibilizar mensagens relevantes a respeito da organização e das medidas de segurança sanitária aplicáveis às eleições brasileiras. Além disso, o art. 3º do Projeto dispõe que o Facebook, Instagram, Twitter, Google “e outros” terão de adotar medidas de combate à desinformação e ao abuso nas eleições sob orientação do Tribunal Superior Eleitoral, disponibilizando canais de comunicação direta entre os tribunais eleitorais e os eleitores brasileiros.
A PGE buscando esclarecimentos sobre as fake news que assolaram o Brasil na eleição de 2018, solicitou junto ao TSE que fosse realizada a quebra de sigilo bancário do empresário Luciano Hang, proprietário das Lojas Havan.
Na União Europeia (UE), também têm sido discutidas novas leis para o combate e enfrentamento à desinformação, destinadas a forçar plataformas online, incluindo o Facebook, a divulgar publicamente a identidade de pessoas e entidades que financiam anúncios políticos. Segundo Jourová, vice-presidenta da Comissão Europeia, “as novas tecnologias devem ser ferramentas de emancipação, não de manipulação”. A comissária fez seus comentários quando o poder executivo da UE propôs um plano de ação para a democracia que deverá ser transformado em lei antes das eleições europeias de 2024. Além de mais transparência e análise da publicidade política, a comissão quer tornar mais rígidas as regras sobre o financiamento de políticas na UE para evitar interferências estrangeiras.
TSE gastou R$26 milhões em infraestrutura que causou atrasos nas eleições de 2020
A estrutura para totalização de votos das eleições municipais de 2020, apelidada pelo TSE de “supercomputador” em razão de seu tamanho, custou aos cofres públicos R$26 milhões. Este é o custo do aluguel da estrutura, fornecida pela multinacional de tecnologia Oracle, por um período de quatro anos. Uma falha nos servidores do Tribunal foi definido como responsável pelo atraso na divulgação dos resultados do primeiro turno das eleições.
No dia 25 de novembro, o TSE publicou uma nota esclarecendo que o serviço prestado pela Oracle consiste na cessão de dois computadores que ficam alocados na sala-cofre do TSE. A nota informa ainda que a fornecedora contratada em 2020 foi a mesma empresa a fornecer os serviços de banco de dados para todas as eleições eletrônicas desde 1996.
Invasão hacker no sistema de transporte da vacina do Covid-19
A IBM (International Business Machines Corporation) emitiu um alerta na última quinta-feira (03), informando que hackers efetuaram ataques às empresas de logística envolvidas no transporte da vacina do coronavírus no mundo. Segundo o blog da IBM, os hackers visavam “uma campanha global de phishing“, que nada mais é do que “um tipo de golpe que tenta enganar as pessoas por meio de e-mails falsos”. O ataque tinha o objetivo de obter credenciais de login de acesso das companhias. De acordo com o relatório da IBM, dados sobre as tecnologias da vacina, bem como contratos firmados poderiam ser revelados, podendo prejudicar a logística de transporte entre os países. A Interpol se posicionou sobre a situação de vulnerabilidade do sistema, solicitando que as forças de segurança de todo o mundo estejam preparadas para lidar com as eventuais ações criminosas relacionadas às vacinas.
A revolução das redes sociais no Continente Africano
Um relatório da Access Now identifica o uso recorrente em países como a Tanzânia e Etiópia de ações restritivas à liberdade de expressão em meio digital através do desligamento periódico da internet e bloqueio de redes sociais. A organização internacional de direitos humanos que defende os direitos digitais de usuários em situação de risco, afirma que nos governos do continente africano supra citados, normalmente evocam justificativas relativas à segurança nacional, à segurança pública, a notícias falsas e a discursos de ódio. Dentre os países, destaca-se o recente bloqueio liderado pela Tanzânia – o mesmo país onde se iniciaram os movimentos da Primavera Árabe -, onde se restringiu o acesso a mídias sociais durante as eleições de 28 de outubro.
Na Etiópia, que já desligou a Internet 12 (doze) vezes, salienta-se o bloqueio por parte do governo após protestos que exigiam justiça pelo assasinato de Haacaaluu Hundeessaa, músico e ativista social.
O tratamento de dados pelas empresas
O último mês tem levantado um alerta sobre a necessidade de aplicação de compliance digital por todos os setores: além dos vazamentos ocorridos no setor público, diversas empresas estão na mídia por ataques hackers e pelo vazamento ou exposição indevida de dados.
Os danos ocasionados por estes incidentes vão desde a inacessibilidade de sistemas, até a exposição e/ou venda ilícita dos dados obtidos ilegalmente. Desde o começo de novembro, foi possível observar incidentes de proteção de dados nas seguintes empresas:
- Embraer: Ataque hacker com vazamento de dados. A invasão indisponibilizou acesso a um único ambiente de arquivos da Embraer.
- Seguradora Prudential: Ataque hacker com vazamento de dados pessoais e dados sensíveis. A empresa manifestou que já restabeleceu a segurança do sistema e que está fazendo uma investigação sobre o caso.
- Capcom: Primeiramente o ataque hacker solicitou resgate com o pagamento de criptomoedas, contudo dias depois houve o vazamento de dados de funcionários, clientes, acionistas, documentos de design e cópias de slides internos de jogos a serem lançados.
- Booking, Expedia e Hotels: Dados pessoais e dados sensíveis ficaram abertos e sem proteção nos servidores da Amazon.
- GO SMS Pro: Falha de segurança deixou diversos dados de usuários vulneráveis a ação de hackers que estão conseguindo compartilhar informações com qualquer pessoa via link da web.
O Spotify virou foco também pelo acesso indevido em diversas contas do aplicativo, contudo, a situação deles é bastante peculiar: um grupo de criminosos cibernéticos usou uma técnica chamada credential stuffing, que nada mais é do que a tentativa de reutilizar credenciais vazadas por outro serviço online qualquer para entrar em contas de uma outra plataforma online, para evitar outros problemas, a empresa anunciou a redefinição de senhas de mais de 350 mil usuários.
Propostas legislativas visam alterações do Estatuto da Criança e do Adolescente, no Código Penal e no Código Processo Penal
O PL nº 5.261/2020, apresentado pelo Deputado Carlos Chiodoni, propõe alterações no Estatuto da Criança e do Adolescente (ECA), estabelecendo que jogos eletrônicos que coletam dados de seus usuários, como data de nascimento, nome completo e endereço estão proibidos de disponibilizar publicamente as informações, quando se referirem a menores de idade. Além disso, o projeto propõe que o diálogo entre os jogadores menores de 14 anos deverá ser feito somente por mensagens predefinidas pelo próprio produtor do jogo. Além disso, tendo em vista a recorrência das fraudes eletrônicas, o PL nº 5.265/2020 proposto pelo Deputado Célio Studart, tem por objetivo de modificar o art. 154-A, do Código Penal, aumentando a pena para crimes de invasão de dispositivo informático alheio, além de propor alteração no Código de Processo Penal, estabelecendo como competência jurisdicional para casos de invasão de dispositivos o domicílio da vítima.
Esta newsletter faz parte do projeto Observatório Eleitoral Digital do Instituto Liberdade Digital e contou com a participação da equipe do Instituto: Beatriz Moraes, Maria Marinho e Rachel Mota junto aos pesquisadores do programa Fellowship: Amanda Aciari, Giovanna Guilhem, Júlia Gabrielle, Nilton Cesar Alcântara e Rafael de Lima.
O que achou da nossa Newsletter? Caso tenha comentários, observações ou outra versão do que veiculamos aqui, nos envie um e-mail: contato@institutoliberdadedigital.com.br. Todos os feedbacks são bem-vindos!