Uma notícia ganhou manchetes globais na mídia especializada em tecnologia na semana passada. Segundo a Kaspersky Lab –empresa de cibersegurança de origem russa–, um grande banco brasileiro teria sido "hackeado" em outubro de 2016. Como resultado, seus sites foram completamente dominados por hackers, o que pode ter levado ao roubo massivo de informações bancárias de clientes e funcionários.

A notícia foi dada durante o Security Analyst Summit pelo brasileiro Fábio Assolini e um colega russo da Kaspersky Lab. De acordo com eles, a operação envolveu um esquema sofisticado que durou pelo menos cinco meses de preparação.

O resultado foi fulminante. Os hackers criaram uma cópia exata do site do banco. Em seguida, dominaram todos os seus mais de 30 endereços de internet (explorando brecha no sistema DNS). Além disso, conseguiram gerar um certificado digital falso, fazendo com que o cadeado verde que aparece no navegador fosse mostrado normalmente.

Desse modo, tanto clientes quanto funcionários (já que os relatos indicam que endereços corporativos também foram hackeados) por algumas horas acessaram um site falso, replicado por criminosos, tendo seus dados potencialmente roubados.

O nome do banco não foi revelado. No entanto, a Kaspersky informou que ele tem mais de 500 agências no Brasil, 5 milhões de clientes e US$ 25 bilhões em ativos.

Não satisfeitos, os hackers ainda conseguiram implantar um malware (espécie de vírus) no computador de quem acessou o banco enquanto dominado. Esse malware desligava programas de segurança instalados no computador e abria o caminho para desviar dinheiro de contas em outros bancos internacionais.

Se essas informações forem verdadeiras, elas geram mais perguntas do que respostas. Os clientes foram avisados de que seus dados foram potencialmente expostos? Qual o tamanho do dano? Por que essa informação não circulou oficialmente no Brasil? Que medidas devem ser tomadas por quem foi exposto?

Esse incidente leva a uma reflexão sobre temas essenciais. À medida que serviços bancários migram de vez para a internet, há pelos menos dois aspectos que precisam ser mais bem pensados. O primeiro é a proteção dos dados dos usuários no sistema bancário. São poucos os bancos no país que possuem uma política de privacidade bem desenvolvida e transparente, que atenda aos requisitos básicos de "compliance" com privacidade exigidos por lei.

O segundo tema é a segurança digital. Muito investimento foi feito nessa área. Mas ao que tudo indica o banco atacado errou em itens básicos. Por exemplo, terceirizou seu DNS para outras empresas, em vez de operar seus próprios servidores. Ou, ainda, parece não ter implementado medidas simples, como dupla autenticação ou criptogramas visuais.

No ambiente digital, privacidade e segurança convertem-se em dimensões essenciais da confiança no sistema bancário.

Ronaldo Lemos - advogado, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITSrio.org). Mestre em direito por Harvard. Pesquisador e representante do MIT Media Lab no Brasil.

Fonte: coluna jornal FSP