Uma organização sem fins lucrativos no Brasil que ajuda jovens a encontrar estágios sofreu uma grande violação de dados, com invasores alegando ter acessado cerca de 546 gigabytes de registros privados. A organização, chamada Gerar, conecta candidatos a emprego pela primeira vez com empresas e instituições educacionais. A violação foi divulgada quando uma postagem apareceu em um fórum de vazamento de dados mostrando arquivos de amostra de jovens candidatos que datam de vários anos.
O material exposto é profundamente sensível. De acordo com pesquisadores que analisaram o conjunto de dados da amostra, o vazamento inclui cópias digitalizadas de relatórios de exames médicos, carteiras de identidade, contratos entre Gerar e estagiários, contratos entre escolas e programas de treinamento e até documentos digitalizados relacionados ao serviço militar para alguns jovens candidatos.
No conjunto de arquivos de amostra, os pesquisadores encontraram nomes, endereços de e-mail, números de telefone, datas de nascimento, números de identificação do contribuinte, endereços, dados de renda familiar, detalhes de formação educacional e outras informações pessoais. Esses dados por si só apresentam um risco significativo de roubo de identidade e fraude.
Como muitos dos afetados são jovens adultos que acabaram de entrar no mercado de trabalho, o risco de longo prazo é particularmente alto. Com tantos detalhes pessoais expostos, os malfeitores podem abrir contas, solicitar empréstimos ou se passar por vítimas nos próximos anos. Os pesquisadores alertam que, quando a identidade de alguém é comprometida no início de sua carreira, isso pode ter um impacto duradouro em seu histórico de crédito e oportunidades de emprego.
A Gerar oferece treinamentos, estágios e serviços de correspondência para jovens brasileiros que ingressam no mercado de trabalho. Ao fazer isso, ele coleta grandes volumes de dados pessoais tanto dos candidatos quanto dos parceiros educacionais ou empregadores. Esse volume de dados confidenciais, combinado com menos proteções típicas de programas voltados para jovens ou sem fins lucrativos, torna essa organização um alvo atraente.
Ao comprometer o banco de dados de uma organização sem fins lucrativos como a Gerar, os invasores obtêm acesso não apenas a dados pessoais brutos, mas também a documentos de contrato, materiais de verificação de identidade e credenciais educacionais. Tudo isso pode ser usado para ataques secundários, como phishing, criação de credenciais falsas ou falsificação de identidade corporativa.
Como as organizações sem fins lucrativos podem fortalecer a proteção de dados
A violação do Gerar demonstra que mesmo organizações com boas intenções podem se tornar pontos de falha no ecossistema maior de proteção de dados. Toda organização sem fins lucrativos que coleta dados pessoais deve levar a segurança cibernética tão a sério quanto as empresas privadas maiores.
Isso significa limitar a quantidade de dados coletados, criptografá-los no armazenamento e revisar quem tem acesso a eles. Atualizações regulares de software, testes de penetração e treinamento de pessoal também podem evitar muitas violações antes que elas ocorram. A comunicação transparente após um incidente é igualmente importante. Os indivíduos afetados devem ser informados rapidamente e receber conselhos práticos para se protegerem.