11/08/2020

O silêncio da OAB Nacional quanto ao vazamento dos dados de advogados

No último domingo, o Insanity Security LAB tornou pública uma vulnerabilidade simples, mas gravíssima, no site oficial da OAB Nacional que permitia o acesso ao cadastro completo de, potencialmente, todos os advogados do Brasil. 

A falha foi reportada pela primeira vez no dia 8 de maio, mas só foi corrigida no dia 10 de agosto pela manhã. Tendo em vista o tempo no qual a vulnerabilidade pôde ser explorada, é muito provável que os dados tenham sido copiados e estejam sendo vendidos na deepweb, onde há um mercado ávido por dados pessoais.

O incidente traz duas importantes preocupações aos advogados. A primeira, e mais óbvia, é quanto à possibilidade de nossos dados pessoais estarem nas mãos de criminosos (nome, telefone, CPF, RG, título eleitoral, endereço residencial, número de segurança, nome dos pais, data de nascimento e foto). A segunda, quase tão preocupante quanto a primeira, é o silêncio da OAB Nacional quanto ao fato.

Se a LGPD já estivesse valendo, a OAB teria a obrigação de informar aos titulares de dados a ocorrência do incidente de segurança, uma vez que o vazamento ocorrido pode acarretar risco ou dano relevante aos titulares. Segundo a Lei, a comunicação deveria ter sido feita em “prazo razoável” (ontem, no meu ponto de vista, mas eu não sou a ANPD – aliás, por enquanto ninguém é). Dá para se pensar em uma série de ilícitos que podem ser praticados com essas informações, desde a clonagem de WhatsApp até fraudes de todos os tipos.

Considerando o louvável protagonismo da OAB na defesa da proteção de dados pessoais, inclusive com a propositura da ADI 6387, que derrubou o compartilhamento de dados pessoais das companhias telefônicas com o IBGE previsto na MP 954, era de se esperar uma atitude transparente por parte da Ordem. Mas tudo o que se ouviu até agora foi o “som do silêncio”, como diriam Simon & Garfunkel.

Até o momento em que escrevo essas linhas, não encontrei qualquer manifestação oficial nem no site, nem nos perfis da entidade nas redes sociais quanto ao ocorrido. Circula, todavia, na internet, um texto atribuído ao Conselho Federal, que diz o seguinte:

"O Conselho Federal da OAB foi notificado sobre o possível vazamento de dados de sua base, por meio de uma vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional. Imediatamente, adotou as providências por meio de sua Gerência de Tecnologia da Informação. As correções necessárias foram imediatamente implementadas e o problema, sanado.

A OAB está comunicando às autoridades o ocorrido, para que sejam procedidas as investigações necessárias.

O Conselho Federal informa ainda que está discutindo um plano de aperfeiçoamento contínuo da segurança dos dados do Cadastro Nacional dos Advogados, a ser implantado em conjunto com a seccionais."


Essa manifestação, se for real, também é preocupante. Primeiramente por falar em “possível vazamento”, sendo que o vazamento foi comprovado e podia ser testado por qualquer um (o Digiálogos testou e comprovou). Em segundo lugar, por parecer querer transferir “às autoridades” a responsabilidade por uma falha interna, que deveria ter sido corrigida há, no mínimo, três meses, quando foi reportada pela primeira vez.

A postura da OAB Nacional é exatamente o que a LGPD visa a combater. Talvez o melhor seja mesmo a Lei entrar em vigência no próximo dia 16 de agosto, mesmo sem que a Autoridade Nacional de Proteção de Dados (ANPD) esteja constituída.
Por Raphael Di Tommaso

Publicado em 11/08/2020 às 08:33

Topo