Relações extraconjugais na mira dos crimes digitais: o caso Ashley Madison

Por Marcelo Crespo

A Avid Life Media é uma empresa proprietária de três grandes portais de relacionamento: o Cougar Life (destinado a encontros de mulheres com homens mais novos) o Established Men (destinado a encontros de garotas de programa com homens “bem-sucedidos”) e o Ashley Madison (destinado ao encontro de pessoas casadas). Cada qual tem um perfil distinto de usuários, mas comungam de um “bem valiosíssimo”: a privacidade dos usuários, de modo que os encontros se mantenham discretos, sem exposição das pessoas envolvidas.

Ocorre que recentemente um incidente com hackers está tirando o sono de muita gente cadastrada nestes portais: o grupo que se intitula “The Impact Team” afirma ter obtido todo o banco de dados do serviço, incluindo registros financeiros dos usuários. Pior que isso, o grupo ameaça divulgar as informações caso os sites não sejam encerrados. Leia aqui o manifesto. Há, então, pelo menos, 37 milhões de cadastros (uns três milhões deles são brasileiros, segundo o mapa da infidelidade no Brasil) que estão nas mãos de pessoas que podem vir a divulgá-los a qualquer momento. De fato, já há notícia de que nada menos que 10 gigabytes foram divulgados via BitTorrent na “Quantum Magazine”, acessível pelo Tor.

A Avid Life admitiu que dados foram obtidos indevidamente por terceiros e emitiu nota se desculpando com os seus clientes. Por seu turno, o grupo hacker afirmou ter praticado a cópia dos dados porque a empresa não vinha cumprindo a promessa de apagar os perfis dos cadastros quando solicitados, o que somente era feito mediante um pagamento (o cadastro era gratuito e a sua exclusão se dava mediante pagamento). Após o incidente a empresa tem permitido a exclusão dos perfis gratuitamente e já até um tutorial explicando como proceder para apagar o perfil.

Não se pode dizer que um vazamento de dados como este é uma genuína surpresa porque há pouco tempo algo semelhante já havia ocorrido com o Adult Friend Finder, com teve cerca de 3,5 milhões de perfis vazados por hackers em maio deste ano, segundo se noticiou. No entanto, não só pela confidencialidade dos dados mas, especialmente pela quantidade de cadastros obtidos, esse ataque pode ser paradigmático.

Ainda é difícil identificar como o ataques, de fato, ocorreu. Todavia, mesmo sabendo que a maioria das pessoas utiliza senhas de baixa qualidade, uma violação tão abrangente sugere que tenha ocorrido uma invasão sistêmica ou a participação de algum funcionário da própria empresa, fato, aliás, que não foi excluído por representantes da Avid Life.

Sob a perspectiva do nosso sistema jurídico, caso a conduta tivesse sido praticada aqui no Brasil, os autores estariam incursos no art. 154-A do Código Penal, inserido pela lei nº 12.737/12 e que se convencionou chamar de “Lei Carolina Dieckman”, in verbis:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

Sobre detalhes da lei, já discorremos em várias outras ocasiões, sendo as mais recentes nos textos Crimes Digitais: do que estamos falando? e As leis nº 12.735/12 e 12.737/12 e os crimes digitais: acertos e equívocos legislativos. No entanto, a prática se deu no Canadá, país que igualmente comporta, em seu sistema jurídico, tipo penal referente ao acesso não autorizado de computadores, precisamente na seção 342.1 e que pune quem obtém dados de forma não autorizada, dentre outras condutas, conforme se observa abaixo:

342.1 (1) Everyone is guilty of an indictable offence and liable to imprisonment for a term of not more than 10 years, or is guilty of an offence punishable on summary conviction who, fraudulently and without colour of right,

(a) obtains, directly or indirectly, any computer service;

(b) by means of an electro-magnetic, acoustic, mechanical or other device, intercepts or causes to be intercepted, directly or indirectly, any function of a computer system;

(c) uses or causes to be used, directly or indirectly, a computer system with intent to commit an offence under paragraph (a) or (b) or under section 430 in relation to computer data or a computer system; or

(d) uses, possesses, traffics in or permits another person to have access to a computer password that would enable a person to commit an offence under paragraph (a), (b) or (c).

Apesar das notícias sobre o vazamento dos dados, não há maiores informações sobre o andamento das investigações relativas ao crime lá ocorrido.

Fato é que outros crimes podem decorrer deste já que todos aqueles que tiverem acesso aos dados dos infiéis poderão, em algum momento, usar estas informações para a prática de extorsão, crime grave tipificado tanto aqui no Brasil (art. 158 do Código Penal) quanto lá no Canadá (seção 346 do Código Penal).

Entre tantas dúvidas sobre como de fato se deu o ataque, seus reais motivos e os efeitos danosos que poderá causar, resta uma certeza: não há mais espaço para ingenuidade: os dados pessoais estão, cada vez mais, em um cenário de risco. A proteção das reputações pessoais e empresariais, então, passa necessariamente pela proteção adequada dos bancos de dados. Você está preparado?

Fonte: Canal Ciências Criminais