Autoridades malaias bloquearam sites que informavam sobre escândalo de grande roubo de dados pessoais

Dados seguros, dados privados. Imagem de Flickr por Blue Coats Photos. CC BY-SA 2.0

Entre maio e julho de 2014, 46,2 milhões de números de telefone na Malásia foram obtidos por meio de violação dos dados e vazados online.

Mas a maioria dos malaios não sabia da violação até o portal de notícias tecnológicas Lowyat.net dar a notícia em 19 de outubro, quando alguém tentou vender os dados por intermédio do fórum do site.

O vazamento incluía números de celulares pré e pós-pagos, detalhes dos clientes, endereços e também informações do cartão SIM de 14 diferentes empresas de telecomunicações. O vazamento também englobava informações médicas de cerca de 80.000 pessoas do banco de dados de três associações médicas. É o maior caso noticiado de violação de dados pessoais na história da Malásia.

O órgão regulador, a Comissão Malaia de Comunicação e Multimídia (MCMC, na sigla em inglês) pediu ao Lowyat.net que retirasse o artigo enquanto uma investigação sobre a violação fosse conduzida. O artigo foi removido, mas reapareceu alguns dias depois. A MCMC disse que trabalhou com as empresas de telecomunicações para determinar a causa da violação de dados e já está se preparando para prender um suspeito.

Insatisfeito com a ação lenta do governo e das empresas de telecomunicações em dar informações ao público, o blogueiro de tecnologia Keith Rozario criou e publicou o site Sayakenahack em 12 de novembro de 2017 para ajudar os usuários a verificar se o número de telefone deles estava entre os vazados em 2014. Rozario é um arquiteto malaio que vive em Cingapura e escreve sobre tecnologia.

Captura do site Sayakenahack

Rozario esclareceu que os dados que ele usou no Sayakenahack já estavam disponíveis publicamente e que ele simplesmente tornou mais fácil para os usuários comuns de internet verificar se suas informações pessoais foram afetadas. Ele ainda disse que a privacidade dos usuários é protegida porque o site não revela as informações completas daqueles que enviaram seus números de telefone.

De acordo com os noticiários, o Sayakenahack foi visitado por 150.000 pessoas em 36 horas de funcionamento.

Mas, agindo de acordo com uma solicitação formal do Departamento de Proteção à Privacidade de Dados, a MCMC bloqueou o site Sayakenahack por violar a Lei de Proteção à Privacidade de Dados de 2010.

Rozario aconselhou os usuários sobre como acessar o site de outras maneiras, mas ele concordou em remover o site em 19 de novembro.

Assim como Rozario, Lowyat.net está frustrado com a resposta lenta das autoridades:

We are extremely concerned that no remedial action has been taken by the service providers involved to protect those that have been affected by the breach. In this day where everything is stored electronically, data security breaches are not something to be taken lightly.

Estamos extremamente preocupados que os provedores de serviço envolvidos não tenham tomado nenhuma ação corretiva para proteger as pessoas afetadas pela violação. Numa época em que tudo está guardado eletronicamente, violações de segurança de dados devem ser levadas a sério.

Mas apoiou a decisão da MCMC de bloquear o Sayakenahack:

Keith Rozario is the good guy here, who set up the site for a very noble purpose, however, that does not stop unscrupulous individuals from abusing the data for their own needs. There will also always be a big question mark on whether it is right for the data to be manipulated in any way without consent from the actual owners.

Keith Rozario é o mocinho aqui, ele disponibilizou o site para uma causa muito nobre, entretanto, isto não impede indivíduos sem escrúpulos de abusar dos dados para suas próprias necessidades. Ainda existirá o grande ponto de interrogação sobre se os dados podem ser manipulados de qualquer forma sem o consentimento dos proprietários.

Por sua vez, Rozario defendeu sua decisão em criar o Sayakenahack:

I believe that you have a right to know about it, in a timely manner. Authorities can’t sit on the data for weeks without letting you know on any pretense.

To ban Sayakenahack is to say geeks and hackers can access the data — but not the average joe. It’s emphasizing that normal people don’t deserve that knowledge while geeks and hackers do.

This is elitism, and it’s wrong.

Eu acredito que as pessoas tenham o direito de saber sobre isso, de uma maneira oportuna. As autoridades não podem esconder os dados por semanas sem deixar que as pessoas saibam, sob nenhuma circunstância. Banir o Sayakenahack é dizer que os geeks e hackers podem acessar os dados – mas não um indivíduo comum. É enfatizar que pessoas normais não merecem o conhecimento, enquanto geeks e hackers sim. Isto é elitismo, e é errado.

Alguns usuários do Twitter criticaram a MCMC por bloquear o Sayakenahack:

A MCMC e outros órgãos do governo não podem e não devem ter o poder de censura. É ineficaz e não ajuda o cidadão. Também mostra a atitude do governo em não querer resolver o problema, mas sim acobertá-lo.

Este é provavelmente o maior escândalo tecnológico de violação de dados do país e a forma como a MCMC lida com isso parece ser apenas censurando e acobertando tudo. O que exatamente estão tentando esconder?

Eric Paulsen, da organização Advogados pela Liberdade, acusou a MCMC de priorizar a prisão de usuários de internet que estão “insultando” políticos nas redes sociais ao invés de fortalecer a capacidade de proteção dos dados do país.

What have MCMC done to ensure that the personal data stored on public and commercial websites are secured? Did these websites and MCMC know about the breach earlier but failed to inform the public or their customers? MCMC should also be updating the public from time to time regarding the progress of their investigation instead of keeping a general silence on the matter.

MCMC must get their priorities right. Instead of wasting valuable resources in trying to rein in ‘insulting’ remarks against the Prime Minister and other personalities, MCMC should be focusing on real crimes and issues like fraud and data security.

O que a MCMC fez para garantir que os dados pessoais mantidos em sites públicos e comerciais estejam seguros? Estes sites e a MCMC sabiam da violação antes, mas não informaram o público ou seus clientes? A MCMC também deveria atualizar o público de tempos em tempos sobre o progresso da investigação ao invés de manter silêncio sobre a questão. A MCMC precisa estabelecer bem as suas prioridades. Em vez de desperdiçar recursos valiosos tentando manter o controle dos comentários de insulto contra o primeiro ministro e outras personalidades, ela deveria focar nos crimes reais e problemas como fraude e segurança de dados.

O trabalho de Rozario foi apreciado pelo jornal The Star, que publicou um editorial depois do bloqueio de Sayakenahack:

Thanks to him, a few Malaysians can enjoy the peace of mind that comes from knowing their personal information was not leaked.

For this much needed public service – filling in the gaping chasm of inactivity on the part of the telcos concerned – the MCMC decided to block the site

It is a pity that instead of lauding his effort, too many of us decided to shoot the messenger

Graças a ele, alguns malaios puderam desfrutar da paz de espírito proporcionada por saber que suas informações pessoais não foram vazadas. Por esse serviço público muito necessário – preencher o vazio de inatividade por parte das empresas de telecomunicações envolvidas – a MCMC decidiu bloquear o site. É uma pena que ao invés de enaltecer seu esforço, muitos de nós decidimos atirar no mensageiro.

Inicie uma conversa

Colaboradores, favor realizar Entrar »

Por uma boa conversa...

  • Por favor, trate as outras pessoas com respeito. Trate como deseja ser tratado. Comentários que contenham mensagens de ódio, linguagem inadequada ou ataques pessoais não serão aprovados. Seja razoável.