No Comments

Wäre das “größte Datenleck in Brasilien” ein “Betrug”? Experten kommentieren

Wir hatten nicht einmal Zeit zu atmen und all das Unglück zu absorbieren, das sich im Jahr 2020 ereignete – ganz Brasilien geriet am 19. Januar dieses Jahres in Raserei, nachdem mehrere Medien zu berichten begannen. Was wäre das größte Datenleck in der Geschichte des Landes. Ein Krimineller würde über ein Oberflächen-Webforum personenbezogene Daten von mehr als 223 Millionen Bürgern – einschließlich der Verstorbenen – vermarkten und sogar einige kostenlose Proben aus der Datenbank veröffentlichen.


Die Nationale Datenschutzbehörde (ANPD) forderte Untersuchungen zu dem Vorfall an, die hauptsächlich an Serasa gerichtet waren, da einige Elemente der angebotenen Datenbank das Kreditbüro erwähnten – obwohl das Unternehmen von Anfang an vehement bestritt, in irgendeiner Beziehung zur Exposition zu stehen. Die Aktionen der Bundespolizei gipfelten in der Festnahme von zwei Verdächtigen: der Bergmann Marcos Roberto Correia da Silva (“Vandathegod”) und der Pernambuco Yuri Batista Novaes (“JustBR”).

Seitdem wurde das „Megavazamento“ – wie es bekannt wurde – zu einer Nachricht für nationale und internationale Zeitungen, zusätzlich zu ewigen Diskussionen über Datenschutz, allgemeines Datenschutzgesetz (LGPD), ANPD-Effizienz und Anleitung für die endgültige Öffentlichkeit zum Schutz sich gegen möglichen Betrug der Falschdarstellung. Was viele jedoch nicht beachten, ist, dass am Ende Es ist möglich, dass ein solches „Mega-Leck“ nie existiert hat.

Mikrowellendaten

Das wichtigste zuerst. Wie The Hack in seinem am 22. Februar veröffentlichten Newsletter erklärte, hat PSafe – ein brasilianisches Unternehmen, das den Verkauf der Daten identifizierte und die Medien alarmierte – begann eine Reihe von Kritikpunkten auf dem Markt zu leiden, weil sie eine gemacht haben Offenlegung nicht angemessen wenn wir Industriestandards berücksichtigen. Das Unternehmen untersuchte das Leck nicht eingehend und beschränkte sich darauf, eine Pressemitteilung zu erstellen, die mehr Angst und Zweifel hervorrief als Lösungen selbst.

Zu dieser Zeit erklärte ein C-Level-Manager für Informationssicherheit (der es vorzog, anonym zu bleiben) ausschließlich: „Die apokalyptische Offenlegung dieser Pseudo-Mega-Lecks mit wenig oder keinem technischen Kontext schadet den allgemeinen Sensibilisierungsbemühungen in Bezug auf Schutz und Daten Privatsphäre. Es ist bedauerlich, dass Unternehmen solche Wege beschreiten, um ihre Marke auf dem Markt bekannt zu machen. “ Der Artikel kann vollständig unter diesem Link gelesen werden.

Was passiert ist folgendes: Es ist unethisch, ohne angemessene Untersuchung zu dem Schluss zu kommen, dass eine von einem anonymen Kriminellen angebotene Datenbank tatsächlich ein beispielloses Leck darstellt. Da diese virtuellen Schurken vom Verkauf dieser Datenbanken profitieren, ist es selbstverständlich, dass sie mehrere verschiedene Ausstellungen zusammenstellen, um eine größere Sammlung zu erstellen und sie auf dem „Markt“ anzubieten, um die Aufmerksamkeit der Öffentlichkeit auf sich zu ziehen. Dabei Es würde ausreichen, ein oder zwei PDFs eines privaten Unternehmens einzufügen, um ihn für den Vorfall verantwortlich zu machen.

In einer Umfrage, die von einer proprietären Gruppe durchgeführt wurde, die Dutzende von CISOs (Chief Information Security Officers oder Information Security Managers) zusammenbringt, stellte The Hack fest, dass Für 57% der Fachleute auf dem Gebiet muss der größte Teil des „Mega-Lecks“ aus altem Material bestehen angereichert mit wenig unveröffentlichten Daten. Bereits 40% glauben, dass die Datenbank nichts Neues enthältals Zusammenstellung bekannter Lecks; Nur 3% der Befragten glauben, dass die Exposition tatsächlich neu ist.

Es ist ein Leck … Aber ist es neu?

In einem Interview mit The Hack erklärte Alexandre Sieira, CEO von Tenchi Security, dies Die einfache Tatsache, dass die Datenbank Verweise auf Serasa enthält, ist kein ausreichender Beweis dafür, dass das Unternehmen angegriffen wurde. “Jemand hat diese Informationen möglicherweise vor Jahren zu Recht von Serasa gekauft. Möglicherweise haben Sie einen Serasa-Partner, der Zugriff auf diese Informationen hat, oder sogar einen Unternehmenskunden, der Zugriff auf die Daten hat”, erklärte der Geschäftsführer in einem kurzen Telefongespräch.

„Es gibt viele mögliche Szenarien, und keiner der in den Nachrichtenartikeln oder Veröffentlichungen von PSafe enthaltenen Beweise lässt Sie wissen, ob eines dieser Szenarien eingetreten ist. Auch hier kann es sich um eine Kombination handeln, eine Verbindung von drei oder vier Lecks, die jeweils von einem anderen Typ sind “, sagt Sieira. „Wir haben Schlagzeilen mit der Aufschrift‚ neues Leck ‘gesehen. Wir haben keine Beweise dafür, ob es ein Leck gab und ob es neu ist. Es können nur Re-Daten aus früheren Basen sein “, schließt er.

Sieira merkt auch an, dass die Unternehmen, die ohne technische Grundlage mit dem “Leck” in Verbindung gebracht wurden, von mehreren Behörden angesprochen wurden, was zu einer ganzen Situation führte, die zu Verlegenheit und Auswirkungen führte, ohne zu wissen, ob sie wirklich in die Situation verwickelt sind. Darüber hinaus äußert sich der Experte besorgt über die Tatsache, dass der Schwarzmarkt für personenbezogene Daten seit Jahren besteht – auch im Surface Web als Forum selbst, in dem die Datenbank zur Verfügung gestellt wurde, und in Facebook-Gruppen.

„Gibt es eine konsequente Untersuchung, um gegen Kriminelle vorzugehen? Haben die Polizeibehörden die Mittel, um diese Menschen zu verfolgen? Sollten wir uns nicht auf einen bestimmten Datensatz konzentrieren, der verkauft wird, sondern wenn die Behörden koordinierte Maßnahmen ergreifen, um diese öffentlichen Ankündigungen zu unterbinden? Sobald jemand illegal personenbezogene Daten verkauft und eine Wahrscheinlichkeit von mehr als null hat, verhaftet zu werden, werden wir weniger Leute haben, die sie verkaufen “, schließt er.

Wessen Interesse?

Zufälligerweise hat das 22. Bundeszivilgericht von São Paulo am vergangenen Mittwoch (24) eine einstweilige Verfügung abgelehnt, die Serasa gezwungen hat, seine Kunden über das Mega-Leck zu informieren. gerade wegen des Mangels an Beweisen, dass das Unternehmen in den Vorfall verwickelt ist. “Erst nach den erforderlichen Nachweisen kann festgestellt werden, ob die gesetzliche Pflicht zur Mitteilung an die Inhaber über den Vorfall mit Datenlecks erfüllt ist”, betonte der für den Prozess verantwortliche Richter José Henrique Prescendo.

Die große Frage ist nun: Wenn das Mega-Leck wirklich eine Sammlung von wiedererwärmten Daten ist, wer wäre dann daran interessiert, diesen Inhalt zu verbreiten? Wir können nur mit zwei Hypothesen arbeiten: dem Kriminellen (der ohnehin vom Verkauf der Datenbank profitiert, obwohl es keine Beweise dafür gibt, dass er erfolgreich verkauft hat) und Sicherheitsunternehmen, die B2B-Lösungen anbieten, um Datenlecks zu verhindern. Angesichts der öffentlichen Verzweiflung wächst natürlich die Nachfrage nach dieser Art von Dienstleistung.

Unabhängig davon ist daran zu erinnern, dass, wenn nachgewiesen wird, dass das Leck nicht neu ist, die Daten rechtmäßig erhalten wurden und Serasa keine Beziehung zu dem Vorfall hat. Diejenigen, die für die Verbreitung dieser „Idee“ verantwortlich sind, können möglicherweise in der Kunst gerahmt sein. 340 des Strafgesetzbuches: “Provozieren Sie die Handlung der Autorität und informieren Sie ihn über das Auftreten eines Verbrechens oder Vergehens, von dem er weiß, dass es nicht stattgefunden hat”. Es ist die berühmte „falsche Meldung von Straftaten“ und der Täter kann sechs Monate lang festgehalten werden.

Der Hack wird den Fall weiter untersuchen.


Quelle: Digitale Konvergenz, G1

See the original post at: https://thehack.com.br/seria-o-maior-vazamento-de-dados-do-brasil-uma-fraude-especialistas-comentam/?rand=48891

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.