Início Coluna Eduardo Martins Hacker invade sistema de empresa cripto brasileira e vaza dados de clientes;...

Hacker invade sistema de empresa cripto brasileira e vaza dados de clientes; o que podemos aprender com este ataque?

581
0
Hacker invade sistema de empresa cripto brasileira e vaza dados de clientes; o que podemos aprender com este ataque?

“Thank you all for your bitcoins!”, assim começa a lista divulgada na manhã de sábado, 25 de agosto, no Pastebin, serviço de hospedagem de conteúdo on-line.

Uma corretora de criptomoedas muito conhecida no Brasil, por inclusive usar um casal de famosos atores em suas campanhas de tv, teve seu sistema hackeado pela manhã de sábado, porém a informação só veio ao conhecimento do público especialista em criptomoedas e direito digital na manhã do domingo, dia 26 de agosto.

Os invasores usaram o pastebin, um site de armazenamento de texto, um tipo de serviço de hospedagem de conteúdo on-line no qual os usuários podem armazenar textos simples. Lá foram divulgadas informações sobre mais de 100 usuários da exchange.

“Exchange não é carteira!” Embora sempre orientemos nossos clientes e amigos a não deixarem BTC ou dinheiro nas exchanges e sim em suas carteiras, episódios como esse nos mostram que até o CEO de outra conhecida plataforma de criptomoedas, que, inclusive, já foi vítima de sequestro, deixa seus Bitcoins na exchange. Além dele, youtubers, um juiz aposentado e um famoso escritor brasileiro integram o grupo com a maior quantidade de Bitcoins armazenados.

Mas calma, eles não são tão ingênuos quanto parece. O que explica esse número tão alto de Bitcoins armazenados em uma exchange é que ela se define como “uma plataforma de investimentos que realiza arbitragem automatizada com Bitcoins”. Ainda segundo a empresa, eles usam um robô que “compara os preços em diferentes exchanges, comprando onde está mais barato e vendendo onde está mais caro”. Na verdade, o que essa exchange oferece é um serviço de aluguel de robô para trade com Bitcoin. Contudo, o robô só opera com os Bitcoins que estão na sua plataforma, o que justifica o número tão alto de criptomoedas em “custódia”.

Não pense que isso só acontece no universo das criptomoedas, em 04 de maio deste ano, o Techmundo encontrou 81,609 mil nomes vazados por um hacker que invadiu o sistema do Banco Inter.

“Enquanto isso, as fintechs se antecipam e nadam de braçada nessa seara, sem esperar a decisão final, e de certa forma pressionando por uma decisão em favor da adoção ampla e pouco restrita da nuvem. Nesse estudo de caso, abordaremos o Banco Inter (antes Banco Intermedium), que por sua vez também está às vésperas de um lançamento de oferta pública inicial (IPO, na sigla em inglês) na bolsa de valores. Buscando ser um unicórnio fintech de fato. Mas estamos prontos para esse salto?”, pergunta o hacker antes de detalhar a invasão.

A conduta criminosa pode ser enquadrada na Lei 12.737/12 que dispõe sobre a tipificação criminal de delitos informáticos, que acresceu os artigos 154-A e 154-B ao Código Penal.

A referida norma assim dispõe:

Invasão de dispositivo informático

Art. 154-A  Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

  • 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
  • 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
  • 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

  • 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.

Espera-se que a exchange vítima do ataque providencie mecanismos mais eficientes de defesa contra investidas cibernéticas. Enquanto isso, quando o assunto é o ciberespaço, nenhum de nós está seguro. Por isso a necessidade de implementar o uso dos dados criptografados na blockchain.

COMPARTILHAR
Eduardo Martins é formando em Direito pela Universidade Federal do Ceará - UFC, é consultor na diretoria financeira na Revista Dizer - Periódico eletrônico semestral do curso de Direito da UFC. ISSN: 2594-4207. Pesquisador no TeDirei – Grupo de Estudo e Pesquisa em Tecnologia, Direito e Inclusão e Membro do R. Amaral Advogados. Tem direcionado sua atuação profissional e acadêmica para os aspectos jurídicos e regulatórios aplicáveis às tecnologias disruptivas, blockchain, criptomoedas e fintech.