Ontem recebi em alguns feeds que assino duas notícias publicadas em diversas fontes e formatos, mas que me chamaram a atenção por motivos diferentes e pela forma como foram tratadas e acho que valem ser compartilhadas.
More Bars, Less Security, in More Places: AT&T can’t keep out script kiddies
De acordo com o site CrunchGear, o fato do Kevin Mitnick ter passado para a posição de consultor, começou a ser vitimado por ataques que resultaram no vazamento de informações pessoais em fóruns não tão restritos assim. Pelas notas presentes neste post, parece que uma bela discussão está sendo travada entre ele e a …. AT&T. No mínimo inusitado, uma vez que uma das alegações contra ele é baseada na execução de ligações grátis de um telefone celular.
Polícia indicia programador que invadiu sistema da Telefônica
A matéria começa com “Vinícius Camacho, conhecido na rede como KMax, pode ser punido com até quatro anos de prisão por roubo e divulgação indevida de informações” e trata do indiciamento do mesmo pelo crime de divulgação de segredo, que consta no artigo 153 do Código Penal. Apesar do sistema que ele montou, explorando uma falha na rede da operadora, exibir apenas um resultado por busca e os resultados exibidos suprimem os últimos dois dígitos de qualquer telefone e CPF encontrados, não foi assim que a Justiça entendeu.
Note que o problema citado na primeira e segunda notícia são da mesma natureza, mas o tratamento encontrado nos EUA e no Brasil foram completamente diferentes. Infelizmente é difícil encontrar dados mais profundos para um estudo sobre estes dois modelos de resposta à incidentes, mas fica claro que por aqui o tratamento dado a eventos que envolvam IT Security está bastante confuso, afinal no caso brasileiro:
- A culpa pelo vazamento das informações em questão é da Telefonica que não tomou os devidos cuidados na proteção para os dados de seus clientes e teve um sistema acessado de forma indevida, ou
- A culpa pelo vazamento das informações em questão é de um programador que identificou a falha e errou ao adotar uma política que quase pode ser chamada de full disclosure?
Além de ser uma questão relevante para se entender o caso, fico curioso para saber qual a linha de defesa que será adotada no processo e como isso vai resultar.
You must log in to post a comment.