Vazamento do Detran reacende debate sobre proteção de dados pessoais
capa

Vazamento do Detran reacende debate sobre proteção de dados pessoais

Falha no sistema de informatização do departamento deixou público dados de 70 milhões de brasileiros

Por
Brenda Fernández

Informações podem ser usadas para fraudes

publicidade

Uma falha no sistema de informatização do Departamento Estadual de Trânsito (Detran) do Rio Grande do Norte fez com que dados de 70 milhões de brasileiros — que estavam armazenados em seu sistema — fossem vazados, por tempo indeterminado. Esse número representa aproximadamente ⅓ da população do país. O caso tornou-se público nesta segunda-feira. Ainda que a porta de acesso tenha sido o sistema do estado nordestino, as informações sob proteção do Detran do país inteiro podem ter sido acessadas, visto que todo o sistema informativo é integrado. Longe de ser uma preocupação regional, o vazamento de dados do Detran é um caso nacional. O consultor em Segurança da Informação da Brown Pipe, Vinicius Serafim, ressalta a relevância do ocorrido.  “Normalmente, segurança só é percebida quando falha. Nós estamos falando de um vazamento de dados muito grande”, destacou.

A falha foi constatada e denunciada por um pesquisador brasileiro de segurança da informação que explorou a brecha por meio de testes técnico por cerca de três meses. Este tipo de atividade — onde o profissional busca por falhas em sistemas de seguranças de sites e aplicativos — é um exercício comum na área, principalmente entre profissionais e estudantes universitários do ramo da tecnologia. 

Serafim vê na discussão sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), uma abertura das empresas para receber denúncias de falhas, por meio de terceiros, em seu próprio sistema. “Vejo uma postura mais aberta para que pesquisadores em segurança possam investigar de forma autônoma os aplicativos. Muitos encontram problemas e querem comunicar às empresas, só que essas pessoas têm receio de entrar em contato e se expor por medo de receber um processo por crime cibernético (conforme a Lei 12.737/2012)”. Ao identificar a brecha no sistema que expôs dados como telefone, e-mail, endereço, CPF e dados da CNH, o pesquisador comunicou duas vezes ao Detran sobre a falha. 

O ato de identificar falhas em sistemas é tido por empresas como Google e Facebook como um serviço que merece recompensa e reconhecimento. A medida é chamada de Programa de Recompensas de bugs — a tradução de bug bounty program. Na prática, o programa permite que desenvolvedores descubram e resolvam falhas evitando erros graves.

De acordo com Serafim, a complexidade dos sistemas de informação têm aumentado, com integrações mais elaboradas, o que permite falhas abertas. Enquanto, num quadro adequado, a funcionalidade e a segurança teriam parâmetros alinhados, empresas privadas e instituições governamentais preferem focar na funcionalidade. Em linhas gerais, conforme Serafim, era o mesmo caso que um carro sem airbag com pleno funcionamento. A medida de segurança, em ambos os casos, não altera o comportamento dos sistemas.

Após a segunda notificação de vazamento de dados, o Detran confirmou a falha em seu sistema por meio de nota oficial no site, na última segunda-feira. O Departamento esclareceu que, de imediato, a equipe técnica de Informática do órgão sanou a falha ocorrida em seu sistema. "Cabe ressaltar que os dados dos usuários não foram afetados, assim como não houve interferência nos sistemas de Registro Nacional de Carteira de Habilitação (Renach) nem no Registro Nacional de Veículos Automotores (Renavam)", afirma em nota.

Em contrapartida, Serafim destaca que o termo utilizado “não foram afetados” acabou empregado de forma equivocada, visto que os dados estiveram abertos de forma não autorizada e podem ter sido copiados. A ação, conforme o consultor, “viola o princípio de confidencialidade na segurança da informação”. O que não ocorreu, de fato, conforme o posicionamento do órgão, foi a alteração das informações.

Lei Geral de Proteção de Dados Pessoais

A lei nacional de proteção de dados pessoais já é uma realidade em diversos países da América Latina, como Chile, Uruguai, Colômbia e Argentina, e referência nos Estados Unidos. No Brasil, a discussão já teve início há dois anos e resultou na aprovação da Lei Geral de Proteção de Dados Pessoais (Lei 13.709 de 2018) — popularmente chamada pelas iniciais LGPD — e está prevista para entrar em vigor em agosto de 2020. O período de adaptação foi definido pelos legisladores com o argumento de que os diversos atores envolvidos precisavam de tempo para atender às exigência. 

O texto é um desafio para que empresas e o próprio governo reúnam esforços para readequar seus sistemas e a forma como trabalham com os dados pessoais. Essa movimentação, segundo Serafim, já é um sintoma principalmente entre instituições das áreas financeiras e de educação. Entretanto, ele destaca que por mais que grandes empresas já tenham dado os primeiros passos, não estarão com seus sistemas totalmente adaptados no prazo previsto.

O Detran é uma das empresas que deve atender às exigências até o segundo semestre do próximo ano. Do contrário, a norma prevê uma multa de 2% do faturamento de cada empresa limitado a R$ 50 milhões, por ocorrência. 

Conforme a Lei, a fiscalização deve ficar por conta da Autoridade Nacional de Proteção de Dados (ANPD), uma espécie de agência. No entanto, a criação deste departamento e a forma como ele vai operar ainda nem chegou no papel. Este órgão, em tese, será responsável pela fiscalização, aplicação de multas e acolhimento de denúncias. Para Vinicius Serafim, o tema é ainda cheio de incertezas, o que abre espaços para questionamentos quanto à sua legitimidade. “A criação dela vai ser importante pra perceber a segurança que teremos de que, realmente, vai haver fiscalização para os casos de abusos ou de desvios de funções. Se a agência for ligada diretamente à Presidência da República, vai ser muito complicado ver o governo fazendo uma autopunição”, destaca.