“Olá, hoje estou a vender a seguinte base de dados de utilizadores do Whatsapp”.
A mensagem foi publicada num fórum de piratas informáticos a 16 de novembro por um utilizador não identificado. Seguiam-se os detalhes da oferta: estavam a ser vendidos (por valor indefinido) cerca de 487 milhões de números de WhatsApp, provenientes de 84 países. Isto é, quase 25% da totalidade de números registados na aplicação em todo o mundo.
De acordo com os dados indicados na mensagem, o Egipto, a Itália e os Estados Unidos encabeçavam a lista de países com mais utilizadores comprometidos, cada um deles com mais de 30 milhões de números roubados. Portugal surge no centro da lista, com 2.277.361 utilizadores - número inferior, mas expressivo quando comparado com o total de população portuguesa.
O pirata partilhou posteriormente um excerto de números recolhidos no Reino Unido e nos Estados Unidos, a pedido do site de segurança cibernética Cybernews. Tratava-se de uma “pequena” amostra de cerca de mil números, que o site verificou um a um - e comprovou pertencerem a utilizadores ativos da plataforma. Não obstante, a resposta da Meta foi igual à que apresentou em outras (numerosas) situações como esta: as alegações “são baseadas em capturas de ecrã não fundamentadas” e “não existem provas definitivas” de que os dados dos utilizadores tenham efetivamente sido recolhidos por terceiros.
E agora, o que pode acontecer? "As possibilidades são ilimitadas"
Em primeira análise, os dados obtidos pelos piratas podem não parecer ter particular relevância. São expostos números e nomes de milhões de pessoas, mas são apenas números e nomes - que consequências poderão advir se estes dados caírem nas mãos erradas? Em três termos simples: marketing, fraude, e roubo de identidade.
Os primeiros dois estão frequentemente relacionados, como explica Elsa Veloso, advogada e especialista em Privacidade e Proteção de Dados. “Vamos começar a receber ainda mais comunicações de marketing, em que nos tentam vender produtos ou serviços que são, muitas vezes, fraudulentos”. Como as mesmas mensagens são enviadas para “bases de dados monstras” de diferentes países, algumas terão erros de ortografia e construção frásica que as denunciarão logo como ilegítimas. Outras, provavelmente parecerão mais verosímeis.
“Estes hackers têm práticas cada vez mais sofisticadas, fruto de tentativas e ataques anteriores, e há aqui uma grande escala de experiência que vai fazer com que os ataques sejam credíveis”, alerta Elsa Veloso. Uma destas estratégias passa por solicitar quantias baixas ao utilizador, precisamente para aludir a uma maior credibilidade. “Tem direito a um cabaz de Natal por apenas um euro”: parece uma mensagem aliciante e de valor modesto, mas, se todos os portugueses na base de dados caíssem no engodo, tal resultaria num lucro de mais de dois milhões de euros para os piratas.
Depois existem os phishings, smishings e vishings, com um modo de atuação semelhante entre si: o envio de e-mails, mensagens ou telefonemas (respetivamente) que induzem o destinatário a revelar dados confidenciais. Mais uma vez, importa reforçar a crescente credibilidade destas estratégias. Os sites para os quais somos redirecionados parecem legítimos e somos tentados a inserir o número fiscal ou a mudar a password das aplicações de homebanking - garantindo, assim, o acesso livre dos piratas aos nossos telemóveis e contas bancárias.
“A partir do momento em que uma pessoa carrega num link, está exposta”, sintetiza Nuno Mateus-Coelho, especialista em cibersegurança. Mesmo que não tencione inserir quaisquer dados pessoais, a mera ação de carregar no link errado pode levar a um download não solicitado de um worm ou um ransomware. A estratégia é diferente, mas os objetivos dos atacantes continuam a ser os mesmos: “roubar informação, desviar fundos e limpar as contas das pessoas”. A partir do momento em que o telemóvel é capturado, “as possibilidades são ilimitadas” - desde ligar e desligar a câmara e o microfone até aceder a mensagens e contactos.
Nestas condições, o utilizador já nem sequer precisa de fornecer os seus dados pessoais para os ver comprometidos. “Quando a pessoa estiver a usar a aplicação do banco e fizer um pagamento, os códigos podem ser capturados, tal como o SMS de confirmação”, adverte Nuno Mateus-Coelho. O acesso às mensagens permite ainda expandir o raio de alcance dos piratas para toda a lista de contactos do utilizador afetado - ao ser enviada uma mensagem em nome do remetente, todos os que a receberem (e nela acreditarem) tornam-se igualmente vulneráveis.
Neste contexto, todo o cuidado é pouco. Mudar de número parece ser uma das soluções mais definitivas, admite o especialista em cibersegurança, embora não a mais prática - em particular se considerarmos a população de milhões que foi afetada pela venda da base de dados. Então, que outras medidas podemos adotar? A solução mais simples e eficaz é tão somente isto: investir na literacia digital da população.
“As pessoas têm de compreender que não devem clicar em tudo o que lhes aparece à frente, nem dentro do grupo de amigos, porque não sabemos quais são as vulnerabilidades”. Elsa Veloso concorda e reforça que estamos perante “um crime de grandes dimensões a nível mundial”, que poderá “ter um impacto brutal naquilo que é a vida quotidiana das pessoas que confiaram no WhatsApp”. Pelo menos, a forma como reagimos à receção de mensagens vai exigir uma dose redobrada de cautela. “Vai haver marketing agressivo e fraudulento, tentativas de roubo de identidade - e tudo isso vai acontecer em grande escala”.
De resto, as medidas a adotar são as mesmas que os especialistas em cibersegurança e proteção de dados sempre indicaram. Instalar um sistema de segurança informática como um anti-vírus ou um anti-ransomware; nunca partilhar as credenciais com terceiros; não alterar passwords de aplicações de homebanking sem consultar presencialmente o banco; não permitir segundas vias de cartões exceto em mão. E, destaca Elsa Veloso, nunca acreditar em “ofertas de produtos supostamente gratuitos onde, na verdade, o produto somos nós”.
O monopólio da Meta, a guerra cibernética e os direitos dos utilizadores
“Não há provas de qualquer fuga de dados”. A reação da Meta reitera o que foi escrito em comunicados de imprensa anteriores, em circunstâncias semelhantes, mas a verdade é que as sucessivas polémicas vão deixando sequelas na reputação da empresa. No aspeto económico, nem tanto. A Comissão de Proteção de Dados da Irlanda multou a Meta em 265 milhões de euros esta semana, valor que vem somar-se a uma outra coima de 405 milhões de euros passada pela mesma entidade em setembro. As represálias e os processos judiciais acumulam-se, mas o impacto dos danos é minimizado pelos enormes lucros desta gigante em constante expansão.
“A Meta é o Estado acima do Estado: tem milhares de milhões de pessoas que a habitam e que todos os dias usam o Facebook, o Messenger, o Instagram, o WhatsApp”, nota Elsa Veloso. “Apesar das coimas que lhe são aplicadas, e do aparente decréscimo de utilização de algumas plataformas, a Meta está sempre a adquirir novas plataformas e a expandir-se”. Antes de ser conhecido por este nome, o grupo era “Facebook”; mais tarde, quando perdeu algum público para o Instagram, não tentou derrotar o rival - comprou-o e incorporou-o na empresa. A aquisição do WhatsApp veio a acontecer em 2014, sete anos antes de adoptar o nome Meta. É devido a esta estratégia empresarial que a esmagadora maioria das nossas redes sociais são controladas pelo mesmo grupo norte-americano. Enquanto comunidade europeia, “não temos quaisquer plataformas que consigam concorrer com a Meta”.
As plataformas mais utilizadas pela população portuguesa têm uma origem bifurcada - num lado, temos redes sociais norte-americanas (amplamente dominadas pela Meta); no outro, redes sociais chinesas como o TikTok (que, sozinho, rivaliza com as demais). “De outro lado, ainda por cima, somos atacados por hackers russos”. Este domínio cibernético por parte de superpotências mundiais obriga a uma contextualização mais geral da situação, situando-a no esquema político atual. “É preciso fazer um zoom out”, enfatiza a especialista, “e perceber que existe uma guerra cibernética global que está efetivamente a acontecer e que é preciso encarar de frente”. Compete à Europa, portanto, “criar as suas próprias plataformas” e regê-las em concordância com o Regulamento Geral sobre a Proteção de Dados (RGPD) e os compromissos de privacidade, confidencialidade e segurança de informação nele previstos.
A resposta da Meta deixa adivinhar o processo que se segue, e que deverá ser igual a todos os que o antecederam. Elsa Veloso traça o provável percurso: “as bases de dados são vendidas, alguém abre um processo contra a Meta, as sanções são contestadas em tribunal durante muito tempo. A Meta normalmente perde, mas aquilo que ganhou entretanto supera qualquer perda”. Parece um processo cíclico, destinado a repetir-se ad aeternum enquanto as receitas superarem as multas, mas os especialistas alertam que este ciclo só está condenado à repetição se o permitirmos.
Nuno Mateus-Coelho evidencia que “a Meta já não tem boa saúde e fama na área da segurança informática”, e o mais recente escândalo vem abalar uma reputação já periclitante. “Esperava-se um pouco mais de transparência por parte de uma organização destas, e agora espera-se que as autoridades portuguesas não deixem isto ficar impune”. À imagem do que aconteceu com a coima aplicada pelo Regulador de privacidade irlandês, também Portugal deveria reagir e “pedir uma investigação” à CNPD (Comissão Nacional de Proteção de Dados). “Caso contrário, essas empresas vão continuar a ter um lucro massivo sobre os nossos dados e a ignorar as consequências”.
Esta posição é partilhada por Elsa Veloso, que destaca ainda tratar-se de um “crime” sob o código penal português. “A Meta tem obrigação legal de ter um responsável pela proteção de dados na União Europeia e de comunicar às autoridades de controlo de cada país que existiu uma violação, qual o impacto na vida dos utilizadores, e quais as medidas já tomadas”. No caso de Portugal, esta autoridade de controlo seria o RGPD, “uma lei superior, do Parlamento e da Comissão, que obriga à comunicação da violação de dados”.
Em alternativa, os próprios utilizadores do WhatsApp podem “associar-se e fazer um processo indemnizatório contra a Meta” em vez de aguardarem a ação das autoridades de controlo. Afinal, a iniciativa pode também ser tomada diretamente pelos lesados - e crimes de invasão de privacidade e acesso ilícito a dados de terceiros configuram “pena de prisão até um ano ou 240 dias de multa”.
Mas até os não lesados podem retirar algo desta situação. A cada novo escândalo de proteção de dados, “as pessoas vão ganhando consciência dos riscos que correm” e alterando o seu padrão de comportamento nas plataformas. Mesmo que a Meta não tome medidas, “pelo menos as pessoas não caem tão frequentemente em fraudes” - e os planos dos piratas acabam fracassados.