As informações pessoais, as crenças religiosas e as visões políticas de cerca de 200 milhões de cidadãos dos EUA foram reveladas acidentalmente pelos marketers que trabalham em nome do Comité Nacional Republicano.

O gigantesco conjunto de dados que atinge os 1.1TB e cobre mais de 60% da população total dos EUA, era propriedade da Deep Root Analytics e incluía não apenas nomes, endereços, números de telefone e datas de nascimento, mas também informações sobre potenciais pontos de vista políticos, tendências religiosas e etnia.

A base de dados foi descoberta pelo investigador de segurança da UpGuard, Chris Vickery, num servidor AWS público, sem segurança, encriptação ou sistemas de autenticação. Vickery realizou esta descoberta a 12 de junho, mas segundo as declarações fornecidas à Gizmodo pelo fundador da Deep Root Analytics, Alex Lundry, a informação só estava exposta desde 1 de junho, após uma atualização das configurações de segurança.

“Nós assumimos total responsabilidade por esta situação”, afirmou. “Uma vez que este evento chamou à atenção, atualizámos as configurações de acesso e colácamos protocolos para evitar novos acessos”.

“Os problemas fundamentais que expuseram estes dados não são raros ou incomuns” escreveu o UpGuard num artigo do seu blog. “Os mesmos fatores que resultaram em milhares de violações ao nível de dados anteriores – bancos de dados esquecidos, acesso a listas de fornecedores de terceiros, permissões inadequadas – permitem criar violação de dados quase sem precedentes”.

Os especialistas de segurança questionam o facto de um conjunto de dados tão grande ter ficado desprotegido, sendo que muitos acusam a empresa de não seguir os protocolos básicos de segurança.

“A fuga acidental dos dados de 200 milhões de eleitores americanos é o mais recente exemplo de uma realidade infeliz, mas verdadeira”, afirmou Matt Moynahan, CEO da Forcepoint; “Cada vez com mais frequência as violações de dados são causadas, não por hackers mal-intencionados, mas por erros cometidos pelos funcionários”.

Para Peter Galdies, o Diretor Técnico da empresa DQM GRC, se este problema tivesse afetado eleitores europeus, as consequências para a Deep Root podiam ter sido terríveis, devido às regras mais restritas ao nível da proteção de dados na Europa”. Se estes dados pertencessem a residentes europeus ou britânicos, isso seria uma violação extremamente grave à luz do novo RGPD … e iria resultar em consequências muito graves para todas as organizações consideradas responsáveis, incluindo os responsáveis pelo processamento de dados. 

Segundo Tim Erlin, vice-presidente da Tripwire, isto serve de alerta para quão fundamental a segurança de dados deve ser.  “Qualquer organização que esteja a lidar com dados confidenciais, especialmente na nuvem, deve considerar este incidente como um alerta. Os executivos devem questionar-se se este tipo de incidente poderia ocorrer dentro de sua organização e deverão agir em conformidade”.

No entanto para além das preocupações de segurança óbvias levantadas por este incidente, os especialistas consideram que foram também levantadas diversas questões no que diz respeito à recolha de dados que é efetuada aos cidadãos comuns, sem estes se aperceberem.

Importa salientar que os dados foram compilados por três empresas republicanas de análise de dados – Deep Root, Target Point Consulting e Data Trust. Estas consultoras foram contratadas pelo Partido Republicano com o objetivo aparente de construir um perfil abrangente de tantos eleitores quanto possível, e que seria usado para ajudar a criar mensagens políticas e propaganda adaptada às crenças individuais.

Esta não é a primeira vez em que métodos semelhantes de acompanhamento de massas foram implementados para servir uma agenda política; Uma investigação do conhecido jornal The Guardian revelou que a empresa de recolha de dados Cambridge Analytica estava fortemente ligada a vários grupos de campanha pro-Brexit e a diversos apoiantes bilionários.

O que importa reter deste acontecimento é que a preservação da confidencialidade de dados pessoais (que permitam identificar uma pessoa singular; ex.: nome, morada, nº de identificação, endereço IP) deve ser levada muito a sério por todas as empresas que guardem informações dos seus clientes/colaboradores nos seus sistemas.

É crucial que os gestores destas empresas, não importando a sua dimensão, tomem rápida consciência da responsabilidade que têm no âmbito do novo Regulamento Geral de Protecção de Dados da União Europeia (RGPD) e adoptem as medidas necessárias para limitar a sua responsabilidade perante a eventual fuga de dados pessoais dos seus clientes por forma a evitar coimas que podem atingir 4% da facturação global anual ou 20 milhões de €.

Uma forma de estar em conformidade com o RGPD é garantir a pseudonimização dos dados através de mecanismos como por exemplo a encriptação dos dados.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*