Arquivo da tag: Perícia em informática

Vazam senhas dos principais sites de e-commerce brasileiros: Como se proteger e o que diz o direito digital

Em 17 de julho foi divulgado pelo Tecmundo a notícia de um arquivo disponibilizado via Pastebin, com nome de usuários e senhas para as principais plataformas de ecommerce do Brasil e alguns serviços de hospedagem. Estão na lista Netshoes, Extra, Centauro, Casas Bahia, PagSeguro, Terra, eFácil, Ponto Frio, HostGator etc.

Não se pode afirmar seja autêntica, o fato é que existem aproximadamente 360 logins e senhas e segundo o site o arquivo poder ser uma amostra. Não se trata de um vazamento em massa, porém alguns alertas são válidos. O site não divulgou o arquivo pois logicamente poderia ser utilizado por criminosos.

Ao que parece as contas publicadas estavam desativadas. De qualquer maneira, as vitimas devem diante deste cenário trocar imediatamente as senhas destes serviços. Caso a senha não entre, pode ter sido alterada, momento em que é importante um contato telefônico com as lojas virtuais. É preciso rememorar quais sites online o usuário já comprou e para isso, vale avaliar a caixa de correio eletrônico e outros documentos digitais.

Não se sabe se os dados foram obtidos por meio de phishing scam (e-mails e sites falsos) ou por meio de algum código malicioso nos clientes. Neste sentido, aqueles que perceberem qualquer atividade anômala poderem realizar uma perícia digital em seu equipamento, através de um especialista, de modo identificar a origem de alguma exploração maliciosa. Não é porque conseguiram acesso a conta que hackers poderão comprar produtos, mas no mínimo podem ter acesso a dados cadastrais e em alguns casos sim, acesso a dados cartões de crédito.

De se destacar que diferentemente do Brasil, nos Estados Unidos a lei obriga as empresas a reconhecerem e publicarem os vazamentos de dados. Aqui, o projeto de proteção de dados pessoais trata deste tema, mas longe está de ser uma legislação. As lojas Centauro e Netshoes se manifestaram no sentido de não terem sofrido qualquer ataque, o que leva a crer tenham os dados coletados ou obtidos diretamente dos consumidores.

Logicamente, as vitimas, caso a vulnerabilidade seja nas lojas virtuais, poderão buscar a reparação judicial e a responsabilização das mesmas pelos danos causados, considerando que disponibilizaram um serviço “em tese” vulnerável e que pode ter lesado o consumidor. Por outro lado, se a loja demonstrar em juízo por meio de uma perícia em informática que seu sistema não foi violado, comprovando culpa exclusiva do consumidor ou exploração de vulnerabilidade em seu equipamento, pode não ser condenada a reparar e ser absolvida de um processo ou ação reparatória. A batalha é técnica e consiste em provar quem estava seguro e quem estava vulnerável e quem deu causa ao vazamento dos dados. Um especialista (expert do juízo) pode ser nomeado para solucionar a controvérsia.

Seja como for, para o Direito Digital, sem prejuízo do crime pela obtenção indevida de dados, o acesso indevido por meio login e senha, violando mecanismo de segurança ou autenticação é crime, previsto na lei de crimes informáticos, lei 12.737/2012 (Carolina Dieckman) . É possível, igualmente, medida judicial em face do Pastebin, para que forneça os registros de acesso à aplicação daqueles que postaram o conteúdo. Embora a principio permita colagens anônimas, não se admite que o serviço não registre de alguma forma os dados de conexão de seus utilizadores.

José Antonio Milagre é perito digital. facebook.com/josemilagreoficial

Sobre o áudio de Joesley Batista: É preciso decência na atividade pericial.

No dia 26 foi apresentado ao STF Laudo da Polícia Federal sobre o Áudio de Joesley Batista com o Presidente Michel Temer. Como verificamos das notícias sobre a análise da Polícia Federal, o áudio apresentou 294 descontinuidades. Continue lendo

A perícia forense digital na fraude telefônica do “bypass”

É sabido que as operadoras de telefonia legitimamente faturam com ligações móvel-móvel, fixo-móvel e fixo-fixo, cada qual com sua tarifa. Do mesmo modo, uma ligação local não é tarifada da mesma forma que uma ligação interurbana ou internacional.

Quando você utiliza seu celular em São Paulo e liga para um celular de Natal, pagará logicamente a tarifa específica para esta ligação interurbana. A cobrança é feita com base na sua localização, ou seja, uma ERB específica de São Paulo capta seu sinal, sendo identificada também a ERB de destino, no Rio Grande do Norte.

Agora imagine que você pudesse “enganar” todo este sistema de localização e tarifas, confundindo a rede da empresa de telefonia, fazendo com que uma ligação de São Paulo/Natal fosse cobrada como sendo Natal/Natal? Imagine que uma ligação interurbana fosse considerada pela rede como uma ligação local? Agora imagine o mesmo exemplo no cenário internacional. Uma ligação Seattle/São Paulo sendo tarifada como São Paulo/São Paulo? Continue lendo

O anonimato da transição nas quebras de sigilo informático

Da necessidade ou não da indicação de porta lógica de origem para identificação de usuários de Internet

 

Recentemente, considerando a escassez de IPs na versão 4, inúmeros provedores de acesso começaram a implementar solução tecnológica a seus usuários, fazendo com que diversos clientes acessassem a Internet por meio de um único IP compartilhado, o que vale para telefonia móvel. Continue lendo

Sobre o anúncio da venda de negros no Mercado Livre

Seria reinventar a roda dizer que as pessoas por trás da ofensa podem ser responsabilizadas. De igual modo é chover no molhado dizer que é cabível a responsabilização do site que hospedou a ofensa. Igualmente, dizer que a internet  vem a favorecer práticas racistas…

Sobre a responsabilidade civil do meio que hospeda o crime cometido por terceiros, é engano, por outro lado, dizer que é absolutamente pacífico o dever de indenizar. No momento em que estiver lendo este artigo, haverá pelo menos um provedor de serviços sendo absolvido no Judiciário, alegando que “é o meio” e que não pode “julgar o que é legal ou ilegal”, logo não podendo remover o conteúdo de plano.

Claro, inafastabilidade do judiciário. Até aí tudo bem. Agora, diante de uma página que estampa crianças negras sendo vendidas a um real, não seria normal ao homem mediano (e até ao abaixo da média) compreender que ali se estampava um crime? Por que esperar para remover? E nos crimes de vazamentos de vídeos de menores ou fotos intimas? Minutos a mais no ar representa a difusão do conteúdo para todo o planeta… Dano potencializado e a culpa é de quem? Do usuário que não denunciou?

Neste ponto outra desculpa esfarrapada. Os sites de serviços agora transformaram seus clientes em “fiscais”, e diante de um crime grave em uma de suas páginas, simplesmente alegam “Ora, temos um botão disponível para o usuário denunciar abusos”.

O que? Um botão? Um código html capaz de afastar a responsabilidade do site de avaliar crimes cometidos em suas páginas e transferi-la ao usuário? Não, isso não pode prosperar e é uma dinâmica mais que desproporcional.

Grandes sites e portais investem milhões em atendimento, otimização de conteúdo e coleta de dados para traçar padrões de consumo, mas não movem uma palha para usarem filtros e análise de dados para identificar conteúdo abusivo e ilegal. Em investigação e perícia, um mínimo.  E diante do crime… “Existia um botão para denuncias…”

Ação Civil Pública pode ser proposta além de ações individuais por todas as pessoas que se sentiram lesadas no caso do anúncio preconceituoso. O meio deve ser responsável pela postagem sim, pois não é crível que não disponha de mecanismos tecnológicos e recursos humanos para de plano identificar ações como esta, em tempo de cadastro. Será que realmente estamos na idade da pedra e é preciso deixar alguém publicar um anuncio para só então constatar um abuso?

De qualquer modo, importante mencionar que o Marcado Livre aparentemente forneceu os dados do possível suspeito diretamente à Ouvidoria Nacional de Igualdade Racial, órgão vinculado à Secretaria de Promoção da Igualdade Racional e também ao Ministério Público.  Percebam, não forneceu a um Juiz de Direito e não se recusou a fornecer a uma entidade legitima, como fazem a maioria dos provedores de serviços do Brasil, que só agravam o crime e a lesão aos direitos e garantias individuais das vitimas de crimes na internet.

Qual o dano que o site teve em fornecer os dados? Nenhum, simplesmente amenizou sua responsabilização, não só removendo o conteúdo, mas repassando os dados à autoridades  e entidades para que procedam com as medidas cabíveis, antes de uma possível ordem judicial. Evitou uma ação de responsabilização e eventual condenação em honorários por ter dado causa ao ajuizamento de uma ação de quebra de sigilo. Sim, um  exemplo que nos faz pensar:

Não seria o caso de repensarmos se a remoção de conteúdos em todas as situações dependem mesmo de ordem judicial? Ou em crimes flagrantes como preconceito no ambiente cibernético poderia-se cogitar de uma pronta remoção? Temos tecnologia para auditar tudo em tempo de execução do crime?

Não seria o caso de relativizarmos e imperativa necessidade de ordem judicial para identificação da autoria em crimes de preconceito, franqueando acesso às informações, em casos específicos, às autoridades policiais e Ministério Público? Ou no mínimo, não seria o caso de agilizarmos ordens judiciais em crimes graves desta natureza, que se propagam na velocidade da Internet? Um processo eletrônico para delitos tecnológicos? Existem correntes com fundamentos plausíveis em ambos os sentidos.

O que sabemos é: Precisamos de maior eficiência não só na criação de leis, mas na capacidade de fazer frente e investigar crimes cibernéticos. Na internet, tempo é dano. Provedores, repitam…

Enfim, os responsáveis pela publicação no Mercado Livre, se efetivamente identificados, estarão incursos no artigo 20 da lei n° 7.716/1989, que lembrando, não protege as pessoas apenas do preconceito racial, mas prevê pena de reclusão de dois a cinco anos e multa a quem pratica, induz ou incita a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.

Mas de nada adiantará a Lei posta, se as pessoas lesadas não provocarem o Judiciário e provocarem (pela dor financeira) uma mudança qualitativa no zelo de sites e provedores de serviços para com auditoria em suas redes, páginas e serviços em geral.

Cuidados jurídicos com o colocation

Locar estrutura de serviços pode ser um grande problema quando o objetivo é provar que a prestadora está falhando. Ou mesmo para a prestadora, que mais dia menos dia, se vê envolvida em litígios entre seus clientes e clientes de seus clientes… Continue lendo

Marco Civil da Internet: O que muda para usuários e quais os entraves?

Todos os profissionais de segurança da informação, TI, autoridades e advogados em direito digital estão apreensivos no que diz respeito à votação do Marco Civil, adiada por mais de 6 (seis) vezes. Mas, quais os direitos dos usuários? Quais os entraves? O que muda na justiça com a Constituição da Internet?

Elaborei um artigo que traça um panorama geral sobre o Marco Civil, da sua gênese na consulta pública, até os pontos polêmicos da versão atual, bem como as dificuldades para um consenso entre governo e base aliada para votar o texto.

Acesse aqui o artigo! 😉

Até a próxima!