Quando usamos a expressão “Dumpster Diving” (mergulhando na lixeira, em português), nos referimos ao ato de vasculhar o lixo alheio com o objetivo de recuperar algo de valor para consumo próprio.
No cotidiano das cidades brasileiras é muito comum nos depararmos com os dumpster divers (as pessoas que vasculham o lixo). Infelizmente, a maioria deles recorre aos contêineres para alimentar-se com sobras de alimentos ou encontrar algum objeto considerado útil.
Entretanto, quando focada nos resíduos descartados pelas grandes empresas, essa prática pode render informações de caráter sensível ou sigiloso a pessoas mal intencionadas. Ou seja, não saber descartar os materiais é um fato alarmante.
O objetivo deste artigo é fazer com que nos aprofundemos no tema, conscientizando sobre os riscos que a prática de Dumpster Diving oferece às empresas que não tomam os devidos cuidados com o lixo.
As consequências do descarte inadequado
Você sabia que o inimigo pode estar à espera do descarte de lixo feito em sua empresa? Esta é uma possibilidade que raramente é analisada ou até mesmo cogitada, mas é certo que ela existe.
Empresas investem milhões em tecnologias para se manter seguras e em treinamentos para aprender a usar essas novas tecnologias, inclusive conscientizando os colaboradores sobre a importância de blindar as informações corporativas.
Porém, nem todas se preocupam em fornecer o devido treinamento aos funcionários quando o assunto é o descarte adequado de documentos ou qualquer outro tipo de material que contenha informações sensíveis ao funcionamento da organização. Nesses casos, mal sabem elas que no lixo também mora o perigo.
Devo me preocupar com o lixo? Na verdade o problema não é o lixo em si, mas o que vai para ele. O modo com que as empresas descartam arquivos sigilosos oferece um alto risco. Pensemos na seguinte situação: estratégias para o crescimento de sua empresa vão para o lixo comum que geralmente fica na rua, qualquer um poderia obter essas informações e utilizá-las contra você.
Um outro problema é que as empresas tentam economizar reaproveitando folhas que já foram utilizadas para imprimir outras informações, e na maioria dos casos nem olham se tem alguma informação importante contida no verso.
Dados aparentemente irrelevantes, tais como telefone, e-mail, endereço etc., na mão de pessoas que desejam obter algum tipo vantagem ilícita são de grande serventia para conseguir acessos avançados, como as senhas dos servidores.
E não são apenas com papéis que devem-se tomar cuidado: discos rígidos (HDs), pendrives e cartões MicroSD contém muitas informações que, na maioria das vezes, podem ser integralmente recuperadas mesmo após serem formatados.
O perigo do Dumpster Diving no mundo corporativo
Imaginemos alguém muito interessado em obter informações sigilosas, a ponto de se dispor a revirar um container de lixo, e que ele sabe que muitos documentos são despejados ali. Mesmos que os papéis estejam triturados, ainda é possível, com muito esforço, torná-los à integridade.
Essa prática fora explorada até no universo da ficcção, mais especificamente na série televisiva entitulada Better Call Saul, protagonizada por Jimmy McGill, um advogado criminal sem reputação a zelar e com enorme disposição para conseguir um caso que o consagre.
Na cena em questão, Jimmy descobre irregularidades por parte de uma empresa prestadora de serviços para idosos e, ao ameaçar a empresa sem obter provas concretas, esperou um dia inteiro pelo descarte dos documentos que justificavam suas acusações (e com sucesso o fez).
Embora seja uma cena de ficção envolvendo uma empresa que cometia fraudes, ela nos retrata muito bem o que um simples Drumpster Diving pode proporcionar quando informações sigilosas podem ser encontradas. Dados sigilosos relativos ao negócio, informações sobre os clientes (cadastrais e bancárias), relatórios, atas e outros tipos de documentos que podem ser usados contra quem os detém são exemplos de materiais a receber o devido cuidado.
A questão é que, na maioria dos países, não é considerado ilegal pegar objetos descartados no lixo. Segue-se o princípio de que o lixo armazenado nas ruas — em lixeiras e caçambas — não pertence a ninguém. Por outro lado, caso o container esteja instalado em propriedade privada, isto é, dentro da empresa e não nas ruas, o ato pode ser considerado um crime de invasão.
Entendendo a ameaça do Dumpster Diving
Na mesma medida em que são antigos, os casos de Dumpster Diving em favor do crime é mais arquitetado do que se costuma imaginar, a ponto de ser considerada uma prática bastante presente na engenharia social. Quem utiliza este método para cometer delitos geralmente busca conseguir acesso a organização sem utilizar-se de falhas de computadores. Um grande engenheiro social que já usou essa técnica e relata em um dos seus livros é o Kevin Mitnick.
A série Tiger Team retrata muito bem as técnicas de engenharia social a partir de personagens que tentam se infiltrar nas organizações por meio destas, incluindo o próprio Dumpster Diving — a série é um pouco antiga e pode ser encontrada no YouTube.
Há muito tempo — em 2003, precisamente —, dois estudantes de graduação do Laboratório de Ciência da Computação do Massachusetts Institute of Technology (MIT), Simson Garfinkel e Abhi Shelat, conseguiram uma impressionante descoberta.
Eles encontraram aproximadamente 5 mil números de cartões de crédito, além de registros pessoais e de empresas, informações médicas e milhares de endereços eletrônicos. Isso tudo quando vasculharam 158 discos descartados.
Por que não manter esses arquivos dentro da empresa? Simples! O espaço que seria ocupado para guardar esses documentos poderia ser utilizado para outros fins, fora os custos de manutenção que se multiplicariam ao longo dos anos.
Como prevenir a empresa da prática de Dumpster Diving?
A principal medida recomendada para evitar casos como os que foram mencionados é a criação de uma política de descarte, de modo que assegure que todos os papéis passem por um triturador de corte transversal antes que sejam descartados. No caso dos componentes de hardware que armazenam dados cruciais, é fundamental que estes passem por um processo de limpeza para garantir que os arquivos sejam apagados em definitivo.
Isso pode ser feito tanto com uso de ferramentas específicas quanto pela contratação de uma empresa prestadora de serviços. De qualquer maneira, é imprescindível que os responsáveis pelo processo assinem um termo de confidencialidade.
A Clavis, parceira da Conviso, executou a primeira edição do War Trashing Day, que visa demostrar a importância no descarte de informações. No vídeo, podemos ver que em pouco tempo foram encontrados dados considerados sigilosos como nomes completos, listas de CPF, assinaturas etc.
Esperamos que o artigo tenha ajudado a compreender os riscos da prática de Dumpster Diving. Para se manter atualizado sobre este e outros assuntos, assine a nossa newsletter e receba as novidades em seu e-mail!.
