Outro dia, outra enorme violação de dados reivindicada por hackers. Dias após uma violação na T-Mobile expor informações pessoais de cerca de 53 milhões de pessoas, um grupo de hackers conhecido como ShinyHunters anunciou que estava leiloando 70 milhões de conjuntos de dados confidenciais supostamente roubados da AT&T.
As informações oferecidas para venda foram semelhantes em ambas as violações, incluindo nomes completos, endereços, datas de nascimento e números de CPF. Em suma, é a base para o roubo de identidade.

A AT&T respondeu na sexta-feira lançando dúvidas sobre a alegação da prolífica cabala ShinyHunters, afirmando que "com base em nossa investigação de hoje, as informações que apareceram em uma sala de bate-papo na Internet não parecem ter vindo de nossos sistemas".

Independentemente de onde os dados vieram, no entanto, se forem válidos, podem ser um pesadelo para qualquer pessoa cujas informações confidenciais sejam expostas. Aqui está um guia rápido para os riscos que você pode enfrentar e algumas das coisas que você pode fazer para se proteger.

Quais são os riscos?

Os números do Seguro Social são amplamente utilizados pelo governo federal, bancos, empresas de investimento, programas de benefícios governamentais e seguradoras para verificar sua identidade. Seu número de Seguro Social roubado pode ser usado para abrir contas de cartão de crédito fraudulentas, desviar ou coletar benefícios fraudulentamente e cometer fraudes no local de trabalho, entre outras formas de engano. Coloque seu nome, data de nascimento e endereço de e-mail (que os ShinyHunters também alegam ter roubado), e é significativamente mais fácil alguém fingir ser você.

Os ladrões de identidade podem usar essas informações para atingir você e os bancos, seguradoras e outras empresas com as quais você faz negócios. Por exemplo, eles podem usá-lo para tornar os e-mails de phishing mais realistas, ajudando a persuadi-lo a fornecer informações confidenciais adicionais, como senha ou número de identificação pessoal (PIN). Ou eles podem usá-lo para enganar seu banco para permitir que eles alterem a senha da sua conta, dando-lhes acesso ao seu dinheiro.

A violação da T-Mobile também expôs os números de telefone, identificadores de dispositivos e números de cartões SIM de mais de 13 milhões de seus clientes atuais. Isso cria uma abertura para pelo menos mais uma possibilidade maligna:um ataque de troca de SIM. É aí que alguém convence sua empresa de telefonia móvel a transferir seu número para um dispositivo diferente, que ele usa para tentar invadir as contas que você vinculou ao seu número de telefone.

É cada vez mais comum que as pessoas usem seus números de telefone celular como forma de verificar sua identidade, por exemplo, quando acessam sua conta bancária on-line ou quando desejam redefinir sua senha. Mas essa conveniência pode sair pela culatra se o seu número for sequestrado e usado para se passar por você online.

Por que as companhias telefônicas querem seu número de Seguro Social?

Porque é a maneira mais fácil de verificar sua classificação de crédito. Empresas como AT&T e T-Mobile querem saber se você tem um registro de pagamento de suas contas em dia antes de concordar em fornecer uma conta ou vender um telefone em parcelas mensais. E as principais agências de classificação de crédito usam os números do Seguro Social para comparar as pessoas com seus históricos de crédito.

"O SSN é o único identificador universal exclusivo em toda a população", explicou Francis Creighton, da Consumer Data Industry Association, que representa as agências de crédito. "Não há mais nada que possa substituí-lo no mercado de hoje."

Os números da Previdência Social também ajudam a proteger contra as pessoas que criam relatórios de crédito fraudulentos, disse Creighton. E embora existam maneiras de estabelecer uma pontuação de crédito que não dependa do seu número de Seguro Social, disse ele, o primeiro passo é um credor ou prestador de serviços não pedir isso. Você não pode ser obrigado por uma companhia telefônica ou outra empresa do setor privado a revelar seu número, mas na Califórnia e na maioria dos outros estados, a empresa pode se recusar a atendê-lo como resultado.

Uma vez que você pagou seu novo telefone ou mudou de operadora, porém, sua empresa de telefonia móvel não estará mais enviando relatórios sobre você para as agências de crédito, disse Creighton. No entanto, os hackers por trás da última violação da T-Mobile conseguiram roubar os números do Seguro Social de ex-clientes da T-Mobile que a empresa mantinha por algum motivo.

Na última década, as empresas de tecnologia vêm desenvolvendo formas alternativas de identificar pessoas para facilitar a proteção contra roubo de identidade, disse André Ferraz, executivo-chefe da Incognia, uma dessas empresas de tecnologia. Idealmente, disse Ferraz, as empresas complementariam identificadores que não podem ser alterados, como números de CPF, com identificadores baseados em comportamentos únicos de uma pessoa, que evoluem com o tempo. Infelizmente, essas soluções ainda não foram amplamente adotadas.

Como você se protege?

A melhor coisa a fazer é congelar seus arquivos de crédito, o que impedirá que alguém abra uma nova conta. É gratuito colocar um congelamento e levantá-lo para suas próprias necessidades. Mas você precisa entrar em contato com cada uma das três principais agências de crédito individualmente, o que pode ser feito online. O especialista em segurança cibernética Brian Krebs também sugere o congelamento dos arquivos de crédito mantidos por um punhado de agências especializadas menores. Você também deve verificar sua pontuação de crédito regularmente, o que é uma boa maneira de detectar fraudes depois que elas acontecem.

Os serviços de monitoramento de crédito e identidade, que normalmente cobram uma taxa mensal, também podem ajudar a revelar o trabalho dos ladrões de identidade. Eles fornecem ferramentas para evitar phishing e outras formas de hackers combinadas com serviços de varredura que procuram seu número de seguro social ou endereço de e-mail em locais on-line aos quais não pertence.

A T-Mobile está oferecendo dois anos de serviço de monitoramento da McAfee gratuitamente para qualquer pessoa afetada pela violação. Ele criou um site sugerindo mais medidas que as pessoas podem tomar para se proteger contra fraudes. Qualquer pessoa com um smartphone seria sensato em levá-los:

• Crie um PIN para sua conta de celular para fornecer uma camada extra de segurança contra alterações não autorizadas em sua conta, como uma troca de SIM maliciosa. Se você for um cliente da T-Mobile e tiver um PIN, defina um novo.
• Ative o recurso "proteção contra invasão de conta" da T-Mobile, que fornece uma camada extra de proteção sobre o PIN. A Verizon vai além, bloqueando automaticamente as trocas de SIM, desligando o novo dispositivo e o existente até que o titular da conta avalie o dispositivo existente.
• Altere a senha que você usa para acessar sua conta de celular online. Alterar as senhas periodicamente é uma boa prática para todas as suas contas. E se você tiver problemas para lembrar dezenas de senhas, experimente um aplicativo gerenciador de senhas que possa acompanhá-las para você.

No lado positivo, a autenticação de dois fatores está se tornando o padrão online, e isso está melhorando a segurança na web. Mas muitos sites incentivam você a transformar esse segundo fator em uma mensagem de texto enviada ao seu número de telefone, o que incentiva a fraude de troca de SIM. Sempre que possível, use um aplicativo de autenticação.