Sobre o vazamento de dados da Equifax

Por Bruce Schneier.

Tradução autorizada por Guilherme Damasio Goulart e Vinícius da Silveira Serafim

Na última quinta-feira, a Equifax reportou um vazamento de dados que afetou 143 milhões de consumidores americanos, aproximadamente 44% da população. Trata-se de um vazamento extremamente sério; hackers tiveram acesso a nomes completos, números de seguro social1, datas de nascimento, endereços e números da carteira de motorista – exatamente o tipo de informações que os criminosos podem utilizar para se fazer passar2 pelas vítimas em bancos, companhias de cartão de crédito, companhias de seguro e outros negócios vulneráveis à fraude.

Vários sites postaram guias para as pessoas se protegerem, depois que isso aconteceu. Mas se você quiser prevenir que este tipo de coisa aconteça novamente, sua única solução é a regulação do governo (o que é improvável que aconteça neste momento).

O mercado não consegue consertar isso. Os mercados funcionam porque os compradores fazem sua escolha entre os vendedores, e os vendedores competem pelos compradores. No caso de não ter notado, você não é um cliente da Equifax. Você é o produto.

Isso acontece porque suas informações pessoais têm valor e o negócio da Equifax é justamente vendê-las. A companhia é muito mais do que uma agência de relatórios de crédito. Ela é um databroker3. Ela coleta informações sobre todos nós, analisa tudo e vende os seus insights.

Seus clientes são pessoas e organizações que querem comprar informação: bancos que emprestam dinheiro para as pessoas, proprietários que querem decidir se vão alugar um apartamento para você, empregadores que querem decidir se vão contratá-lo, companhias que estão tentando descobrir se você é um cliente lucrativo – todos aqueles que querem lhe vender algo, inclusive os governos.

Não é só a Equifax. Ela pode ser uma das maiores, mas existem entre 2.500 e 4.000 outros databrokers  que coletam, armazenam e vendem informações sobre você – praticamente todos eles são companhias que você nunca ouviu falar e com as quais nunca se relacionou.

O capitalismo da vigilância alimenta a Internet e, às vezes, parece que todo mundo está te vigiando. Você é secretamente monitorado em praticamente todos os sites que visita. O Facebook é a maior organização de vigilância que a humanidade criou; a coleta de dados sobre você é o seu modelo de negócio. Eu não tenho uma conta no Facebook, mas ele ainda mantém um dossiê surpreendentemente completo sobre mim e minhas associações – só para o caso de um dia eu decidir entrar.

Eu também não tenho uma conta do Gmail, pois eu não quero o Google guardando os meus e-mails. Mas minha aposta é que ele já tem mais ou menos metade dos meus emails, de qualquer forma, porque grande parte das pessoas com as quais eu me correspondo tem uma conta lá. E eu nem consigo evitar isso, escolhendo não escrever para pessoas com endereços gmail.com, já que eu não tenho como descobrir se pessoa@companhia.com está hospedada no Gmail.

Mais uma vez, muitas companhias que nos monitoram, fazem-no em segredo, sem nosso conhecimento e consentimento. E na maioria das vezes nós não conseguimos fazer um opt-out. Às vezes, são companhias como a Equifax que sequer nos respondem. Outras vezes, são companhias como o Facebook, que possuem um monopólio efetivo em face do seu tamanho. E outras vezes, é a sua operadora de celular. Todos eles decidiram nos monitorar, em vez de competirem entre si oferecendo privacidade aos clientes. É claro que você pode dizer para as pessoas não terem uma conta de e-mail ou um telefone, mas isso não é uma opção realista para a maioria das pessoas que vivem na América no século XXI.

As companhias que coletam e vendem os nossos dados não necessitam mantê-los seguros para garantir a sua fatia de mercado. Eles nem precisam nos responder, nós, os seus produtos. Eles sabem que é mais lucrativo economizar dinheiro com segurança e lidar ocasionalmente com ataques da imprensa depois de um vazamento. Sim, nós somos aqueles que sofrem quando os criminosos obtém nossos dados, ou quando nossas informações privadas são expostas ao público. Mas, no fim das contas, por que a Equifax deveria se preocupar?

Sim, isso é um grande golpe para a companhia… nesta semana. Em breve, outra companhia irá sofrer um vazamento de dados massivo e poucas pessoas irão se lembrar do problema da Equifax. Alguém ainda se lembra, no ano passado, quando o Yahoo admitiu ter exposto informações pessoais de bilhões de usuários em 2013 e de outro meio milhão em 2014?

Essa falha de mercado não é exclusiva da segurança da informação. Há poucos avanços em segurança de funcionamento e da informação4 em qualquer indústria até que o governo entre em jogo. Pense em alimentos, produtos farmacêuticos, carros, aviões, restaurantes, condições do ambiente de trabalho e pijamas resistentes a chamas.

Falhas de mercado como esta só podem ser resolvidas por meio de uma intervenção governamental. Ao regular as práticas de segurança das companhias que guardam nossos dados, e multar aquelas que falham no cumprimento de tais regras, o governo pode aumentar tanto o custo da “insegurança” de modo a tornar a “segurança” a  alternativa mais barata. O mesmo pode ser feito dando aos indivíduos afetados por esses vazamentos a capacidade de processar com sucesso as empresas, indicando que a exposição de dados pessoais é um dano indenizável5

De qualquer forma, observe os passos recomendados para se proteger dos roubos de identidade na trilha do vazamento de dados da Equifax. Contudo, reconheça que tais passos têm uma efetividade marginal, e que a maioria das medidas de segurança está fora das nossas mãos, [ou do nosso controle]. Talvez a Federal Trade Comission irá se envolver no caso, mas, sem sem qualquer evidência de “práticas comerciais desleais e enganosas”, não há nada a se fazer. Talvez até haverá uma ação civil pública, mas em face da dificuldade de se fazer uma ligação entre os muitos vazamentos de dados que você já esteve sujeito e, assim, especificar o dano, os tribunais não tendem a lhe dar razão.

Se você não gosta do fato da Equifax ser tão descuidada com os seus dados, não gaste sua saliva reclamando para a Equifax. Reclame para o seu governo.


Texto originalmente publicado no site do autor.
[1] – Identificador americano semelhante ao nosso CPF e RG.
[2] – No original, impersonate.
[3] – Sobre a atuação dos databrokers, ver o episódio do Segurança Legal n. 52 – DataBrokers, Privacidade e Discriminação.
[4] – O autor utiliza as expressões safety and security. Esta tradução – segurança de funcionamento e segurança da informação – é realizada com base no artigo “Tolerância a falhas: conceitos e exemplos” da Prof.ª Dr.ª Taisy Silva Weber. 
[5] – A autor está dizendo que a lei poderia definir expressamente a exposição ou o vazamento ilícito de dados como um dano passível de indenização. Temos exatamente o mesmo problema aqui no Brasil, onde os tribunais têm visto os vazamento de dados como “meros aborrecimentos” que não fazem nascer a obrigação de indenizar nos responsáveis.
Imagem em destaque por GotCredit

Deixe uma resposta