Recentemente, através do site securitydiscovery.com, tornou-se pública uma falha de segurança de uma entidade conhecida por poucos, a Verification.io. Os investigadores de segurança Bob Diachenko e Vinny Troia descobriram uma base de dados em MongoDB com mais de 150 Gigabites de dados de marketing não encriptados, incluindo 763 milhões de endereços únicos de email. Após a publicação do primeiro artigo sobre o assunto, a 25 de fevereiro, no referido site, a Wired seguiu atentamente o caso e tentou chegar à fala com o CEO da empresa, Vlad Strelkov, sem sucesso. Na segunda-feira, 4 de março, o site Verifications.io ficou offline e não foi restaurado desde então.
A informação encontrada nesta falha de segurança expôs dados tão triviais como nomes, números de telefone, endereços de correio eletrónico e moradas, mas também: género, data de nascimento, empréstimos, perfil de LinkedIn, Facebook, Instagram, assim como a caracterização de perfis em escalas de crédito, além de dados adicionais como nome da empresa, URL do website, indústria em que trabalha, entre outros. Ou seja, perfis “vitaminados” ou enriquecidos, e com informação diversa.
Ora, se até aqui, os titulares desses dados foram fornecendo os mesmos, com ou sem conhecimento, a uma entidade concreta e com nome conhecido, neste caso, os dados dos titulares constantes nesta base de dados “sombra” foram agregados por uma entidade totalmente desconhecida por muitos, e desconhecida até à existência da dita falha de segurança, e aparentemente alimentada através de várias fontes. Estas entidades, como a Verification.io, denominam-se no mercado por Data Brockers e, tal como o nome indica, vendem dados por dinheiro.
Relato estranho? Não é. As grandes empresas de marketing preferem, por vezes, fazer outsourcing da tarefa de validação de endereços de correio eletrónico através de empresas deste género. Porquê? Embora a validação de dados seja um simples processo de envio de email e pedido de resposta para validação de contas, devido ao elevado volume de correios eletrónicos enviados, correm o risco de ter os seus domínios marcados como SPAM; portanto, é mais interessante recorrer a este tipo de serviços do que ficar com as comunicações bloqueadas e ficar listado numa lista de spammers.
Acontece que, hoje em dia, em virtude do RGPD, as organizações necessitam de conhecer bem os seus fornecedores, pois o simples facto de externalizar um serviço não as iliba de responsabilidade, como entidade responsável de tratamento de dados.
E para aqueles que, e bem, defenderam as suas bases de dados na lei de comunicações eletrónicas de 2004, fica desde já uma nota: a diretiva ePrivacy chegará brevemente e, consequentemente, terão de revisitar este processo também.
Todas estas situações não são novas, mas ganham novos contornos à luz dos novos enquadramentos legais existentes. Seja pela territorialidade aplicável com o RGPD, seja pela responsabilidade conjunta que é exigida às entidades subcontraentes e entidades responsáveis de dados do ponto de vista do novo regulamento.
Episódios como este da Verification.io contribuem para um crescente sentimento de desconfiança por parte dos utilizadores de plataformas e serviços digitais (e não só) na hora de partilhar os seus dados com terceiros, mesmo que se trate de um fornecedor habitual. O consumidor de hoje é, por mil e uma razões, cada vez mais bem informado, portanto devem as organizações garantir que as expectativas dos seus clientes são satisfeitas, bem como que a lei seja cumprida. As que o fizerem serão as mais competitivas e preparadas para o mercado global.
Filipe Lacerda, cofundador da Trust Data Privacy e da Academia de Privacidade
