Dados podem vazar de empresas de todos os tipos. Em algumas isso acontece mais, em outras menos. Nem todo banco de dados vazado, ao que parece, contém informações críticas. Mas será que algum vazamento pode ser considerado absolutamente seguro? Vamos analisar o exemplo dos serviços de entrega de comida.
Quais dados são vazados?
Digamos que é improvável que os serviços de entrega vazem dados de cartões bancários – pela simples razão de que eles não lidam com essa informação. Alguns deles usam um gateway de pagamento controlado pelo banco associado: o número do cartão é digitado no site do banco e o lojista nem vê esse dado, muito menos o armazena. Mesmo que o cartão esteja vinculado, essa interface é do lado do banco, e o lojista recebe apenas uma identificação vinculante.
No entanto, vazamentos de serviços de entrega de comida são geralmente mais perigosos do que aqueles que fazem delivery de mercado. Um pedido feito em uma mercearia ou supermercado pode ser retirado em um ponto de coleta ou em uma agência postal, enquanto um pedido de comida é majoritariamente entregue ao cliente, digamos, em uma residência ou escritório. Estamos falando aqui de dados muito pessoais, que podem vincular uma pessoa a um número de telefone e endereço físico, além de fornecer alguns dados sobre seus padrões de compra e comportamento.
Como esses vazamentos ameaçam os clientes
É claro que não há nada de positivo quando informações pessoais se tornam de domínio público. Os pontos negativos são os seguintes:
- Os potenciais invasores têm informações sobre onde a vítima mora, quanto ela gasta com entrega de comida, quando faz o pedido e em quais dias deixa de pedir; essa é uma receita perfeita para um roubo;
- Podem surgir problemas domésticos inesperados. Por exemplo, no verão passado, houve uma história divulgada em mídias sociais a respeito de uma garota que se apossou de tal banco de dados e descobriu que seu namorado pedia pizza regularmente para o endereço residencial de uma amiga dela. Essa história não acabou em pizza.
- Esses vazamentos podem ser considerados verdadeiros acervos de resposta para pesquisas de mercado, prontos para trazer perfis de consumidores e enviar spam direcionado a endereços conhecidos;
Esses bancos de dados contêm não apenas endereços residenciais, mas também comerciais. E isso permite que um invasor use técnicas de engenharia social para penetrar na rede interna de uma empresa por meio de um cliente de serviço de entrega – por exemplo, ligando e informando que ganhou e recebeu um prêmio de fidelidade do cliente que acaba sendo um pen drive com malware. Como a vítima é um cliente genuíno do serviço de entrega, ela terá poucos motivos para sentir que tem algo de errado na história – especialmente se for um mensageiro uniformizado faz entrega o pen drive.
Como esses vazamentos ameaçam os negócios
Para uma empresa, esses vazamentos são um caso de força maior que acarreta inúmeros riscos:
- Reputação. Os vazamentos não podem ser abafados porque os bancos de dados inevitavelmente aparecem na dark web; então, geralmente, as próprias empresas tentam denunciá-los primeiro. Mas essa franqueza não ajuda muito — incidentes de segurança sempre abalam a confiança de clientes e parceiros;
- Regulatório. Os reguladores estão sempre prontos para multar as empresas por violações das leis de proteção de dados pessoais. O tamanho da multa depende da jurisdição, e não apenas a região onde a empresa está registrada pode influenciar, mas também o paradeiro de seus clientes. Por exemplo, qualquer empresa que ofereça bens ou serviços a clientes em quase todos os países europeus se enquadra no GDPR;
- Os clientes estão cada vez mais se unindo para entrar com ações judiciais coletivas quando seus dados vazam, e os tribunais estão começando a ficar do lado deles. Novamente, as quantias envolvidas são pequenas, mas estão crescendo devido ao número crescente de pessoas dispostas a processar.
O que fazer?
Infelizmente, os clientes que não estão preparados para abandonar completamente os serviços de entrega têm poucas opções. Esses vazamentos devem ser encarados como um risco inevitável que, como qualquer outro, deve ser avaliado e as suas consequências mitigadas. Por exemplo, solicite entregas em pontos de coleta – não em seu endereço residencial; e preste atenção às caixas de seleção no formulário de pedido – você pode impedir que seu endereço residencial e número de telefone sejam armazenados.
As empresas têm mais opções. Estes são bem conhecidos, mas, infelizmente, nem sempre totalmente empregados:
- Limitar o acesso dos funcionários a bancos de dados internos contendo dados pessoais;
- Realizar auditorias periódicas aos sistemas de segurança;
- Não armazenar dados pessoais desnecessários. Isso significa permitir que os clientes escolham o que desejam confiar ao seu negócio e o que deve ser removido imediatamente após a conclusão de um pedido;
- Monitorar cuidadosamente o que está acontecendo em sua infraestrutura usando serviços de classe MDR.