Ao divulgar uma imagem com o resultado negativo para o novo coronavírus em sua conta no Twitter, o ministro do Gabinete de Segurança Institucional (GSI), general Augusto Heleno, esqueceu de levar em consideração uma das mais importantes práticas de higiene cibernética: a de proteger os seus dados pessoais. 

A imagem foi divulgada com informações como nome completo, data de nascimento e os números de RG e CPF, as quais poderiam ter  sido utilizadas por quem quer que tivesse acesso à imagem de diversas formas, inclusive para a realização de atividades ilícitas.

Supostos usos indevidos dos dados do General Heleno

Após a exposição, encontramos registros na Internet em forma de memes de internautas que teriam supostamente realizado compras, cadastros para novos cartões de crédito e até mesmo como mesário voluntário na Justiça Eleitoral, filiação a partidos políticos da oposição, assinaturas em serviços de streaming de filmes e reality shows, sociedade no Clube de Regatas Vasco da Gama e checagem em bureaus de crédito, por exemplo, utilizando suas informações. 

Fotos: Reprodução/Twitter

O caso é agravado pelo fato de que o general já é uma pessoa pública, ou seja, independentemente da divulgação do exame, diversas outras informações adicionais sobre ele já estariam disponíveis na Internet – basta acessar sites como a Wikipedia para encontrar nome dos pais, esposa, filhos, o que o torna ainda mais publicamente exposto. Números de CPF e RG poderiam ser os mais difíceis de encontrar, porém, além destes dados estarem indexados à publicação no Twitter, com uma simples busca no Diário Oficial, bureaus de crédito ou até mesmo uma pesquisa no Google ou Bing, eles poderiam ser encontrados.

Fotos: Reprodução/Twitter

Todas estas ações, de fato, não são impossíveis de acontecer, porém existe uma série de recursos que podem impedir ou minimizar esses golpes, caso supostamente fossem realizados, como os exemplos a seguir:

Aquisição de novos cartões de crédito: Operadoras de cartão e proteção de crédito tendem a fazer diversas checagens do usuário que está efetuando o cadastro e, inclusive, chegam a comprar listas de pessoas politicamente expostas para executar o processo de onboarding de maneira diferenciada. Levando-se em consideração o cargo que o general ocupa no país, para se conseguir um cartão de crédito no nome dele, outras informações reais devem ser fornecidas, indo além somente dos números de CPF e RG e data de nascimento.

Cadastro como mesário voluntário nas eleições: Esta seria outra opção que não seria impossível de forma direta. Se de fato alguém conseguiu cadastrar o General Heleno fazendo apenas o uso do número do CPF pela Internet, esse é um processo que demonstra certa fragilidade. Nesta situação, para se evitar um falso cadastro, uma camada de extra de múltiplos fatores de autenticação seria ideal para a validação da identidade, ou até mesmo a presença física do voluntário no posto eleitoral para fazer a confirmação da inscrição.

Abertura de contas: Bancos realizam procedimentos de validação de identidade semelhantes aos utilizados por operadoras de cartão de crédito para se certificar de que quem está abrindo a conta é de fato quem se diz ser, por isso, abrir uma conta não pode ser assim tão simples. Além disso, no caso dos bancos digitais, existem outras soluções que contribuem ainda mais para se verificar o usuário e mitigar uma possível fraude que vai muito mais além do que apenas utilizar o número do CPF como a verificação contextual de cada cliente, análise do comportamento do device utilizado e do local de onde aquele pedido está sendo feito.

Implicações jurídicas

Além das informações pessoais do general, também constavam no documento informações do laboratório onde o exame foi realizado, incluindo o nome dos médicos responsáveis e o seu número de identificação nos conselhos profissionais. Ou seja, houve também a exposição de dados de outras pessoas, o que, sob aspectos jurídicos, também poderiam ensejar ações judiciais. 

Como mencionado anteriormente, todas estas atividades ilícitas, uma vez sendo realizadas, configuram como crimes de falsidade ideológica e estelionato, o que só reforça a gravidade de uma eventual exposição de dados pessoais, e a importância que todos devem dar à sua proteção. 

No entanto, também é importante frisar que o fato do militar ter divulgado seus dados nas redes sociais não dá permissão a  ninguém de utilizá-los de maneira indevida, pois não existe a sua autorização para tal. Ser uma pessoa pública não dá a ninguém o direito de fazer o que bem entender com os seus dados; há, neste e em outros casos similares uma dificuldade em diferenciar o que é dado público com o consentimento para o uso deste dado.

Quem leva o maior prejuízo?

É fato que a exposição dos dados pessoais é algo extremamente negativo, porém, nestes casos, o maior ônus pode ficar para as empresas que  permitem o uso indevido dessas informações. Garantir que os dados são verdadeiros vai ser cada dia mais essencial e fundamental, e a solicitação de informações adicionais para cadastro também, principalmente em casos de pessoas públicas, como o General Heleno, que possuem dados de identificação facilmente acessíveis na Internet. É preciso ter a certeza de que aquele dado está sendo utilizado pelo seu real dono.

Como as empresas potencialmente envolvidas vão contornar a situação quando o militar afirmar que não foi ele o responsável por uma determinada operação? Assumir a fraude pode levar a um processo pelo fato de a empresa não ter validado a identidade de maneira correta, por exemplo. O problema passa a ser da organização que permitiu que a transação fosse realizada, como é o exemplo de uma abertura de contas com dados de terceiros – o banco que assim permitiu a criação de uma conta fraudulenta poderá vir a ser penalizado por não verificar as informações de maneira mais precisa. 

Quem compartilhou o conteúdo, seja lá em que meio, se torna diretamente responsável pela manipulação daquela imagem e de todos os dados contidos nela, mesmo sendo uma pessoa física. Além disso, mesmo que a publicação tenha sido alterada, como no caso do político, que apagou a primeira publicação e realizou uma nova, ocultando os dados pessoais nela contidos, não confere um caráter de revogação. Quem compartilhou a original segue sendo responsável.

E quais aprendizados podemos tirar deste caso?

Prezar pela proteção de seus dados pessoais é algo que muitas pessoas só acabam aprendendo quando se vêem envolvidas em situações como esta pela qual passou o general. O que poderia ser uma imagem inofensiva que tinha como intuito informar a população sobre o resultado negativo de uma séria doença em uma pessoa de cargo público acabou revelando informações que não deveriam ser compartilhadas e favorecendo a atividade de cibercriminosos. 

Em tempos de coronavírus, chega a ser comum que pessoas, públicas ou não, curadas ou testadas negativamente queiram divulgar seus resultados como forma de tranquilizar amigos, familiares e – no caso de pessoas “famosas” – a população em geral. Porém, se não existe o cuidado de ocultar as informações cruciais, isto pode acabar numa situação de exposição de diversos dados pessoais.

Diante do acontecido com as informações do General Heleno é possível observar também a importância da autenticação de dados ser feita de maneira digital. Todas estas ações que poderiam ter sido executadas utilizando as informações pessoais do militar teriam sido bem sucedidas caso houvesse alguma falha no momento da validação, principalmente se esta verificação fosse feita manualmente. 

Tecnologias como validação de contexto do usuário através do dispositivo utilizado e dados cadastrais, comprovação do endereço declarado, múltipla autenticação de fatores e identificação de comportamento suspeito em uma determinada conta são alguns exemplos de como a identidade utilizada pode ser comprovada. E tudo isto pode ser feito de maneira mais rápida e automatizada, sem precisar, por exemplo, de consultas a bureaus.

Também é preciso levar em consideração a importância de treinamentos sobre regras básicas de segurança de informação e cuidados básicos que se aplicam nos momentos de exposição para pessoas que ocupam cargos de alta patente ou hierarquia, seja em qual for o segmento, e estão em exposição na mídia , não só durante a pandemia do COVID-19, mas em qualquer situação. Dados são delicados e se configuram como informações de extrema importância, sejam pessoais ou corporativos, e uma vez que caem em mãos erradas, são grandes as consequências e prejuízos.