‘Acesso não autorizado’: entenda o termo usado por empresas em casos de suspeitas de ataque hacker


Fast Shop, McDonald’s e Americanas usaram a expressão recentemente, após problemas com seus sistemas. Especialista em segurança diz que acesso não autorizado é o mesmo que invasão. Por outro lado, isso não significa, necessariamente, um ataque cibernético bem-sucedido. Entenda o que significa ‘acesso não autorizado’ em sites, bancos de dados e perfis de redes sociais
Altieres Rohr/G1
O site e o aplicativo da loja Fast Shop ficaram temporariamente fora do ar nesta quinta-feira (23). A loja disse que suspendeu os serviços na internet após identificar uma “tentativa de acesso não autorizado” aos seus sistemas.
A empresa não deu detalhes de como a ação aconteceu, mas o termo “acesso não autorizado” tem sido muito divulgado por empresas para descrever ocorrências envolvendo seus sistemas.
Foi o caso de McDonald’s, em abril passado, quando a lanchonete comunicou que dados de clientes no Brasil foram “acessados sem permissão”, e Americanas, Submarino e Shoptime, cujos sites e apps ficaram ao menos 3 dias fora do ar, em fevereiro.
Apesar de algumas terem tomado essa medida mais drástica de paralisar a operação online, foram divulgados poucos detalhes e, em meio a suspeitas levantadas, nenhuma empresa entre as citadas acima usou o termo “ataque hacker”.
LGPD: o que lei de proteção de dados muda na sua vida
Ransomware: como o vírus é usado em extorsões e saiba como se proteger
O g1 pediu aos especialistas em segurança digital Eduardo Bernuy Lopes, presidente da Redbelt Security, e Thiago Ayub, diretor de tecnologia da Sage Networks, que “traduzissem” o que “acesso não autorizado” significa.
O que é ‘acesso não autorizado’ a um site, banco de dados ou conta de rede social? É o mesmo que invasão?
Ayub entende que sim, com base nas reações das empresas que decidiram tirar seus sites do ar diante dessa ocorrência ou de uma tentativa, casos do grupo da Americanas e da Fast Shop.
“É exagero exigir que somente alguém que arrombe a porta ou estoure a janela seja chamado de invasor. Se quem não devia obteve acesso a um local [real ou virtual], é uma invasão”, afirma. “Podem tentar dourar a pílula dizendo que são coisas diferentes mas, na prática, é [invasão].”
Ayub considera curiosa a escolha do termo “acesso não autorizado” pelas varejistas em seus comunicados, já que, no caso de sistemas online, esse tipo de tentativa acontece “o tempo todo, centenas ou milhares de vezes por hora”.
Nem toda tentativa de acesso é mal-intencionada: um sistema de segurança até pode identificar como “não autorizado” o acesso de um funcionário a partir de um computador diferente, por exemplo.
Mas Lopes, da Redbelt Security, destaca que há uma baixa probabilidade de que só isso leve uma empresa a interromper as suas atividades temporariamente, como aconteceu com as varejistas. O mesmo acontece se a invasão tivesse ficado apenas na tentativa.
“Só faria sentido tirar serviços do ar para tomar ações de cibersegurança se algum desses acessos for bem-sucedido”, diz Ayub.
“O que pode levar a uma suspensão do site e do aplicativo é se, de fato, você desconfiar muito de algum tráfego estranho no site ou de acessos não autorizados bem-sucedidos”, completa Lopes.
‘Acesso não autorizado’ é ataque cibernético?
Não necessariamente. Em alguns casos, os sistemas são suspensos por prevenção, e não necessariamente devido a uma consequência, como o vazamento de dados, pontua Lopes.
“A empresa às vezes opta por desativar algum sistema, bloquear, passar um cadeado em tudo para garantir que nenhuma outra brecha esteja sendo explorada”, explica o presidente da Redbelt Security.
“Ao se apurar depois os fatos, alguém que não deveria ter entrado na empresa, entrou. Se ela subtraiu algo, furtou algum item e levou consigo, não se sabe. Apenas é que ela não deveria estar lá e potencialmente poderia ter feito algo danoso”, afirma Ayub.
O diretor da Sage Networks destaca ainda que, se uma tentativa de acesso não foi bem-sucedida, significa que as camadas de cibersegurança funcionaram e que nenhuma outra medida precisaria ser adotada.
Por que as empresas dão poucos detalhes?
Para Ayub, as empresas que sofrem invasão ou tentativa de ataque costumam não ser muito transparentes em seus comunicados.
“Essas manifestações das empresas usualmente têm o objetivo não de informar e sim de equilibrar a responsabilidade legal sobre proteção de dados pessoais e a reputação da marca”, diz o especialista. “Então, quase sempre são mensagens escorregadias, veladas, difíceis de interpretar o que realmente houve”.
“É possível supor que, mais do que [fazer] uma tentativa, o invasor logrou algum tipo de êxito mesmo que modesto, acessando algo que não devia e que motivou essa reação intempestiva por parte do TI da varejista”, avalia.
A escassez de detalhes por parte das empresas também tem relação com a forma como a Lei Geral de Proteção de Dados (LGPD) funciona, diz Lopes.
A lei só obriga as companhias a se manifestarem quando há vazamento de dados privados dos usuários, como CPF.
“Neste momento, que há ainda uma suspeita de um acesso não autorizado, eles [Fast Shop] têm que entender internamente o que aconteceu”, explica. “Se houve uma invasão completa com extração de dados que vai impactar você, eu e outras pessoas, que somos clientes, aí eles têm que comunicar à Agência Nacional de Proteção de Dados (ANPD) e ao mercado”.