O grupo Dragonforce, especializado em ransomware (software malicioso que sequestra de dados), afirma ter invadido os sistemas da FGV (Fundação Getulio Vargas) e roubado informações. O site da fundação ficou fora do ar por quase quatro dias e atrapalhou consultas a resultados e locais de prova de concursos públicos.
Segundo a FGV, não há confirmação de invasão ou retirada de dados de seus arquivos eletrônicos. “As equipes de segurança digital da FGV continuam atuantes e empenhadas em adotar as melhores práticas para resguardar os arquivos da instituição, bem como para identificar e buscar a responsabilização em caso de qualquer tentativa de violação”, diz.
O suposto sequestro de dados foi anunciado, na última segunda-feira (2), em uma página na dark web pertencente ao Dragonforce. Esta organização criminosa, de origem malaia e conhecida desde 2023, funciona em um modelo de afiliados, no qual oferece tecnologia e treinamento para outros criminosos em troca de parte dos lucros obtidos por meio de extorsão.
A publicação contém documentos, que seriam, de acordo com os criminosos, uma amostra dos dados extraviados, incluindo contratos de estágio e formulários com dados de funcionários e bolsistas.
Com os documentos, não disponíveis na internet pública (ou seja, não é possível encontrá-los com um buscador tradicional), a reportagem localizou as pessoas citadas.
O grupo alega que obteve 1,52 TB em informações, o que não é possível verificar com a amostra de cinco documentos divulgadas na página do Dragonforce.
Os documentos encontrados pela Folha indicam nomes, endereços, telefones, emails, documentos de identificação como RG e CPF, além da remuneração paga pela instituição de ensino e pesquisa durante o período de vínculo.
A FGV não respondeu se recebeu um pedido de resgate e se procurou as autoridades policiais.
Especialistas em cibersegurança recomendam que não se pague o resgate em casos de sequestro de dados, uma vez que não há garantias de que as informações estarão protegidas.
De acordo com a ANPD (Agência Nacional de Proteção de Dados), em caso de um incidente de segurança com dados pessoais, uma organização deve ter um encarregado para avaliar internamente a natureza, categoria e quantidade de titulares de dados pessoais afetados, além das consequências concretas prováveis.
Depois, precisa comunicar à ANPD e também aos titulares de dados, em caso de risco ou dano relevante.
O artigo 48 da LGPD (Lei Geral de Proteção de Dados) obriga os controladores a tornar pública, de forma imediata, a natureza dos dados expostos, as informações sobre os titulares envolvidos, as medidas de segurança tomadas e os riscos relacionados ao incidente.
QUAIS SÃO OS RISCOS?
Especialistas dizem que os riscos de vazamento de dados como os divulgados pelo grupo (nome completo, data de nascimento, endereço, email, telefone e informações bancárias de pagamento) são os golpes que envolvem engenharia social.
Ou seja, golpistas podem usar essas informações para convencer usuários a pagar taxas ou fornecer mais dados, por exemplo, ao fingir que são uma empresa de entrega legítima.
Para se proteger, especialistas recomendam:
Desconfie de cobranças por WhatsApp ou SMS
Verifique sempre no site oficial antes de qualquer pagamento
Cheque a URL do site, que pode ter pequenas variações
Nunca forneça dados bancários por mensagens recebidas
Ative autenticação em dois fatores em todos os aplicativos
