Quando pensamos em maus exemplos de segurança informática pensamos, por exemplo, nos dois ataques informáticos massivos dos quais a Yahoo foi vítima. Tudo naquele caso transbordou gravidade: mais de mil milhões de credenciais de acesso roubadas e mais de três anos até que a empresa viesse a público admitir os ataques e pedir aos utilizadores para alterarem os seus dados de acesso.
Significa isto que durante três anos os dados roubados à Yahoo passaram de mão em mão, sabe-se lá bem para que fins. Coloque-se agora nesta posição: como se sentiria se soubesse que o seu endereço de email e a sua password estiveram nas mãos de piratas informáticos durante três anos e que durante esse período de nada soube? Provavelmente já aconteceu.
Siga o Future Behind: Facebook | Twitter | Instagram
Se a Yahoo, uma das maiores tecnológicas do mundo, não deu por estes roubos, não é difícil de conceber cenários onde empresas de dimensão menor e com menores capacidades técnicas passam por situações semelhantes.
Ao longo dos últimos anos têm existido ataques de grande perfil que têm gerado um grande volume de dados roubados e que são depois ‘despejados’ na dark web. Há quem tente vender os dados de imediato, há quem os use em primeiro lugar e os venda depois e há até quem nunca os revele de forma muito pública, apenas para um pequeno número de interessados.
Agora imagine outra situação: e se pudesse ser notificado sempre que um dos seus dados pessoais – email, número de telefone, número de cartão bancário, número de segurança social, número da carta de condução, número do passaporte – surgisse numa destas bases de dados roubados?
É justamente isto que promete fazer o Owl Detect, uma ferramenta de segurança desenvolvida pela empresa CPP Group e pela CSIdentity Corporation.
O diretor da CPP Portugal, Pedro Osório de Castro, fez inclusive um paralelismo que ajuda a perceber melhor aquilo em que o Owl Detect consiste: “É como mandar um detetive ao mercado negro ver se a minha bicicleta que foi roubada ontem está lá. (…) Ele vai e se identificar a minha bicicleta, avisa-me e eu posso pedir às autoridades para atuarem no sentido de reavê-la”, explicou em entrevista ao FUTURE BEHIND.
O Owl Detect é um serviço por subscrição. Ao registar-se no serviço o utilizador diz que dados quer que sejam monitorizados e o software vai fazer esse acompanhamento, de forma constante, a partir desse momento. Há no entanto um outro aspeto interessante nesta solução: o software também vai comparar os dados do utilizador com uma gigante base de dados acumulada ao longo de dez anos para dizer se, potencialmente, já foi vítima de uma fuga de informação.
No caso de o email do utilizador já fazer parte desta base de dados, por exemplo, o sistema vai enviar uma notificação a alertar para esse facto e vai depois enviar uma série de recomendações que o utilizador deve seguir para manter a sua segurança online.
“Imagine, se for uma situação em que é um cartão de crédito ou de débito, o natural será avisar o cliente de que aquele cartão está em risco e o que fará sentido é ele contactar o emissor do cartão, pedir para cancelar e substituir, para evitar que aquele cartão venha a ser utilizado”, exemplificou.
“Essa monitorização pelo que sabemos é feita com uma tecnologia muito específica que permite perfurar, digamos assim, a parede de acesso à dark web. Essas empresas trabalham há muitos anos e têm um arquivo de pesquisa no âmbito da dark web para permitir que, quando faz a pesquisa dos clientes, pelo menos naquela pesquisa inicial, perceber se esses dados já lá estão”, detalhou depois Pedro Osório de Castro.
O caso de Portugal
Atualmente o Owl Detect só está disponível no Reino Unido, Alemanha e Espanha. Apesar de ter sido intenção inicial lançar a ferramenta em Portugal antes do verão, isso já não vai acontecer. Pedro Osório de Castro diz agora que o objetivo é ter o Owl Detect disponível em setembro.
Mas o Owl Detect que vai chegar a Portugal deverá ser diferente, no modelo de negócio, daquele que existe lá fora. No Reino Unido a ferramenta de rastreamento de dados é vendida diretamente ao consumidor – a pessoa subscreve o Owl Detect como subscreve o Netflix, o Spotify ou o Apple Music.
Em Portugal a equipa do CPP Group está a avaliar um modelo de comercialização business to bussiness to consumer (B2B2C). O que é que isto significa? Significa que a ideia é vender o Owl Detect a empresas, empresas essas que vão depois disponibilizar a ferramenta aos seus utilizadores.
O diretor da CPP para Portugal diz que já foram identificadas quatro grandes áreas de clientes no nosso mercado: banca, seguradoras, telecomunicações e retalhistas especializados.
“No caso dos bancos uma sugestão que damos é que pode ser um serviço interessante para captar mais clientes para o homebanking. Aquilo que sabemos é que menos 33% dos clientes usam homebanking, o que nos parece ser baixo. ‘Subscreva o homebanking e ofereço um serviço que torna a sua navegação na internet mais segura’. Isto na ótica de conquistar mais utilizadores de canais digitais”.
Este foi um dos exemplos dados por Pedro Osório de Castro para explicar como poderá o Owl Detect vir a ser trabalhado no mercado português. Quando abrir uma nova conta no seu banco, por exemplo, pode ser-lhe oferecida uma subscrição para este serviço.
Fruto deste trabalho comercial, não significa que o utilizador acabe por aceder ao Owl Detect na sua marca original, mas possivelmente numa marca associada às empresas que prestam os serviços finais aos clientes – a lógica de funcionamento será no entanto sempre a mesma.
A CPP Portugal já começou a mostrar o produto a potenciais clientes e o diretor diz que “tem havido boa recetividade” e que há “uma negociação mais avançada no sector das telecomunicações”.
Apesar desta abordagem B2B2C, os responsáveis da CPP ainda não eliminaram por completo a hipótese de comercializar o Owl Detect também diretamente aos consumidores portugueses. “Através da venda direta ao consumidor não é expectável que venha um grande volume de clientes. Por outro lado é interessante ter esse canal disponível. A balança ainda está equilibrada, ainda não tomamos uma decisão”.
Questionado se o mercado português já é maduro o suficiente para uma solução desta tipologia, Pedro Osório de Castro começou por salientar que a cultura portuguesa não é tipicamente de prevenção. “Não temos a certeza se o mercado tem já esta perceção, mas achamos que é uma questão de tempo. As perspetivas que temos é lançar o produto, ter algumas vendas já no decorrer deste ano, começar a crescer no próximo e daí em diante [crescer] de uma forma mais significativa”.
As desgraças que vão acontecendo, isto é, as fugas de dados massivas ou os casos de ataques informáticos como o WannaCry, vão acabar por despertar nas pessoas uma maior consciencialização para a questão da segurança informática, defende.
Um conceito em tendência
Fazer uma comparação entre os dados dos utilizadores e os dados roubados disponíveis na dark web é uma prática que está a tornar-se comum. O Owl Detect não veio inventar a roda, mas está claramente a posicionar-se como a porta de entrada para milhares de utilizadores de internet.
O reconhecido especialista em segurança informática Troy Hunt tem, por exemplo, um site que assenta num conselho semelhante. O Have I been pwned? agrega endereços de email revelados em roubos informáticos de larga escala e permite que o utilizador verifique se o seu email faz parte da lista.
Apesar de a pesquisa e de o resultado serem gratuitos, o Have I been pwned? não lhe vai dizer tudo. Se quiser mais detalhes sobre o seu caso específico enquanto vítima, então também é necessário pagar pelo serviço criado por Troy Hunt. Serviço este que também tem um serviço de alertas, mas que acaba por ser mais limitado nos dados que vasculha na dark web.
Do lado das grandes tecnológicas também começa a haver uma maior consciencialização para a importância destes dados pessoais que muitas vezes estão alojados no submundo da internet e aos quais a maioria das pessoas não acede ou procura.
No ano passado, em pleno Web Summit, o diretor de segurança do Facebook, Alex Stamos, revelou em primeira mão que a rede social compra dados no mercado negro para manter as linhas de segurança da rede social elevadas.
Segundo o próprio Alex Stamos, em 2016 o Facebook já tinha testado mil milhões de passwords que recuperou da dark web e tinha notificado dezenas de milhões de pessoas para esse facto, pedindo que as suas senhas de acesso fossem alteradas.
“A reutilização de passwords é o problema de segurança número um na internet. (…) Se vamos conectar o mundo, é nossa responsabilidade conectar o mundo de forma segura”, disse o especialista durante a sua passagem por Portugal.
Para Pedro Osório de Castro, ferramentas como a Owl Detect, que vão funcionar como um vigilante constante dos nossos dados pessoais na internet, vieram para ficar. “Quanto a este tipo de serviço, a perspetiva que nós temos é que vai ser equivalente a um antivírus”.
“Quando os antivírus apareceram, não se deu a devida importância. Não havia tantos sites, não havia tantas pessoas a navegar, não havia tantos vírus. Não se achou muito relevante. (…) A perspetiva que nós temos é que a perceção e a necessidade de proteção quando navegamos na internet vai ser cada vez maior. Os data breaches têm subido a uma velocidade impressionante”.
É caso para dizer que contra factos não há argumentos, mas há cada vez mais argumentos contra a falta de segurança informática.