Fuga de dados: Quem usa o Facebook ou Linkedin deve ficar atento a perdas de rede de telemóvel (mas não só)

 

Conheça as recomendações aos utilizadores das duas redes sociais depois de uma exposição de dados. CNPD receia duplicação de cartões SIM, pede cuidado com os SMS de autenticação em sites e mudanças às empresas com serviços online.

A Comissão Nacional de Proteção de Dados (CNPD) aconselha os utilizadores do Facebook e do Linkedin a estarem "especialmente alerta para perdas ou dificuldades na captação do sinal de rede de telemóvel em locais onde habitualmente costumam ter boa rede", mas também às operadoras que criem "canais específicos de atendimento aos clientes para reporte de situações de perda inexplicável de sinal da rede telefónica", garantindo procedimentos que permitam responder com rapidez e eficácia a esses relatos.

As recomendações anteriores são duas das oito feitas pela CNPD na sequência da fuga de milhões de dados pessoais de mais de 500 milhões de utilizadores em cada uma das duas redes sociais.

CNPD participa no processo aberto na Irlanda

Fonte oficial da CNPD adianta à TSF que esta entidade independente, que funciona junto da Assembleia da República, já se apresentou à sua congénere irlandesa como autoridade interessada no inquérito aberto à exposição de dados pelo Facebook - rede social com sede europeia na Irlanda.

A CNPD vai, na prática, participar no processo de investigação e de decisão sobre o caso e já conseguiu apurar que a fuga de dados pessoais registados no Facebook inclui dados de cerca de 2,2 milhões de utilizadores em Portugal.

No caso do Linkedin não há registo de dados sobre portugueses, mas as notícias que têm surgido também falam numa violação de dados de mais de 500 milhões de utilizadores a nível mundial.

Segundo a CNPD, no caso do Facebook foi possível perceber que, "além de alguns dados corresponderem a informação publicamente disponível nos respetivos perfis, na sua grande maioria contêm números de telefone dos utilizadores e, em alguns casos, também endereços de email".

No Linkedin os dados estarão em perfis publicamente disponíveis e a amostra de dados tornada pública também contém números de telefone dos utilizadores.

Os riscos da exposição de tantos dados

Aquilo que, à partida, podem parecer informações sem importância levam a CNPD a ficar preocupada devido à enorme quantidade de dados - e-mail, número de telefone ou nome - que, conjugados, podem abrir a porta a riscos extra de criminalidade online, ajudando os eventuais criminosos a completar o puzzle da identidade virtual de uma pessoa.

As recomendações da CNPD destinam-se não apenas aos utilizadores das duas redes sociais, mas também às operadoras telefónicas e aos prestadores de todos os serviços online.

Duplicação do cartão SIM

A fuga em massa de dados agrava, por exemplo, o risco de duplicação dos cartões SIM colocados nos telemóveis, num cenário que pode ter como consequência as inexplicáveis perdas de sinal de rede.

O presidente da Associação Portuguesa de Proteção de Dados, Henrique Santos, compreende o alerta da CNPD: o risco já existia, mas é potenciado por esta fuga em massa de dados do Facebook e do Linkedin.

"O atacante tem o número do telemóvel e se tiver mais dados como o nome e e-mail pode convencer a operadora a dar-lhe uma segunda via do cartão SIM, passando a existir dois cartões com o mesmo número o que pode causar a perda de rede", explica o especialista.

Aliás, outra das recomendações da CNPD pede às operadoras que façam "uma verificação cuidada e segura da identidade do titular do contrato nos pedidos de segunda via do cartão SIM".

Alterar login

A comissão recomenda ainda aos utilizadores do Facebook e do Linkedin que "sempre que usem o endereço de email ou o número de telefone como "nome de utilizador" (username) para aceder a um determinado website ou serviço, e desde que tal seja permitido pelo próprio sistema, devem alterar esses dados de autenticação (login)".

Por outro lado, os mesmos utilizadores "devem solicitar à entidade em causa que deixe de aceitar o endereço de email ou número de telefone como dados de autenticação".

Cuidado com os SMS com códigos de autenticação

Finalmente, a CNPD pede a todos os prestadores, públicos ou privados, de serviços online que encontrem, "a breve trecho", uma alternativa ao "envio de SMS com um código, como segundo fator de autenticação, para validação da identidade do utilizador que está a aceder ao serviço (banca, chave móvel digital, recuperação de senhas, etc.)".

A comissão avisa que "aquilo que parecia ser uma alternativa viável ao risco inerente da Internet tornou-se, entretanto, bastante insegura com a crescente exposição pública de números de telefone associados à identidade dos seus titulares, como estes dois casos recentes [do Facebook e do Linkedin] tão bem atestam".

Henrique Santos subscreve a preocupação, mas sublinha que os riscos do uso dos SMS são antigos e apenas são agravados com estas exposições em massa de dados reunidos por grandes redes sociais.

As oito recomendações da CNPD depois da exposição de dados pessoais das duas redes sociais:

Para os utilizadores do Facebook e do Linkedin:

- "Devem estar atentos ao recebimento de mensagens não solicitadas ou de origem desconhecida, que podem ter fins maliciosos, seja por email (phishing) ou por SMS (smishing), devendo apagar de imediato essas mensagens e, em particular, nunca devem clicar nos links contidos nas mensagens;

- Devem estar especialmente alertados para perdas ou dificuldades em captação do sinal de rede de telemóvel em locais onde habitualmente costumam ter boa rede, devendo reportar esse facto de imediato à respetiva operadora telefónica;

- Sempre que usem o endereço de email ou o número de telefone como "nome de utilizador" (username) para aceder a um determinado website ou serviço, e desde que tal seja permitido pelo próprio sistema, devem alterar esses dados de autenticação (login); e devem solicitar à entidade em causa que deixe de aceitar o endereço de email ou número de telefone como dados de autenticação".

Para as operadores telefónicos:

- "Devem fazer uma verificação cuidada e segura da identidade do titular do contrato, no caso de pedidos de segunda via do cartão SIM;

- Devem criar canais específicos de atendimento aos clientes para reporte de situações de perda inexplicável de sinal da rede telefónica e adotar procedimentos internos que permitam responder com rapidez e eficácia a eventuais interferências externas".

Para outros prestadores, públicos ou privados, de serviços online:

- "Devem reforçar os seus sistemas de alarmística e fazer uma monitorização acrescida de pedidos inusitados relacionados com acesso a contas de clientes ou utilizadores;

- Devem adotar medidas adequadas e eficazes para prevenir e reduzir o impacto de eventuais ataques aos seus sistemas de informação;

- Devem reequacionar, a breve trecho, o envio de SMS com um código, como segundo fator de autenticação, para validação da identidade do utilizador que está a aceder ao serviço (banca, chave móvel digital, recuperação de senhas, etc.), uma vez que aquilo que parecia ser uma alternativa viável ao risco inerente da Internet tornou-se, entretanto, bastante insegura com a crescente exposição pública de números de telefone associados à identidade dos seus titulares, como estes dois casos recentes tão bem atestam, e com as vulnerabilidades já conhecidas e documentadas neste domínio (SIM swapping protocolo SS7)."

Nuno Guedes / TSF