A Booking.com foi hackeada nesta terça-feira e confirmou o vazamento de dados sensíveis de seus clientes. Passaportes, cartões de crédito, itinerários completos, endereços residenciais, tudo aquilo que você entregou de bom grado em troca da comodidade de reservar um hotel pelo celular agora circula nas mãos de criminosos que sabem exatamente quando sua casa vai estar vazia. O ataque, segundo especialistas em segurança, não foi obra de amadores; foram campanhas direcionadas, o que significa que alguém estudou a arquitetura da plataforma, identificou as vulnerabilidades e executou com precisão cirúrgica. Para quem acompanha o setor, a surpresa não é que aconteceu, mas que demorou tanto.
O problema é estrutural e ninguém quer admitir. Plataformas como a Booking operam sob um modelo de negócio que exige a centralização obscena de dados pessoais. Não basta saber seu nome e seu e-mail; elas querem seu passaporte digitalizado, seu cartão com CVV, seu histórico de viagens dos últimos cinco anos, suas preferências de quarto, se você viaja sozinho ou acompanhado. Constroem um dossiê completo do usuário e armazenam tudo num único ponto de falha. Quando esse ponto cede, e ele sempre cede, o estrago é continental. É o equivalente digital de guardar todo o ouro do reino numa única torre sem fosso; qualquer invasor minimamente competente sabe exatamente onde mirar.
Enquanto isso, numa operação paralela que deveria alarmar qualquer pessoa com dois neurônios funcionais, hackers criaram mais de quatro mil sites falsos de viagens para capturar dados de turistas desavisados. São réplicas perfeitas de plataformas conhecidas, com domínios quase idênticos, certificados SSL legítimos e interfaces que enganariam até profissionais de TI num dia de distração. O golpe é elegante na sua simplicidade: você pesquisa uma passagem no Google, clica no primeiro resultado patrocinado, preenche seus dados e pronto, acabou de entregar sua vida financeira a um criminoso que opera de um apartamento em Bucareste ou Lagos. A ironia é que o próprio Google, que lucra bilhões com publicidade, não consegue ou não se interessa em filtrar esses anúncios fraudulentos de seus resultados de busca.
A lição que se repete e que ninguém aprende é que centralização de dados é uma bomba-relógio. Toda vez que você entrega suas informações mais íntimas a uma corporação em troca de conveniência, está fazendo uma aposta. Aposta que os engenheiros daquela empresa são competentes, que a diretoria investe o suficiente em segurança, que nenhum funcionário vai cair num phishing, que nenhum servidor vai ficar desatualizado, que nenhum governo vai exigir acesso pela porta dos fundos. É muita aposta para quem só queria reservar três noites em Lisboa. A criptografia ponta a ponta existe, os sistemas descentralizados de identidade existem, as ferramentas de privacidade existem. Mas não são adotadas porque privacidade não gera receita publicitária, e dados centralizados são o petróleo que move o modelo de negócio dessas plataformas.
O cidadão comum, que trabalha o ano inteiro para juntar dinheiro para uma semana de férias, agora precisa se preocupar não apenas com o preço da passagem e a cotação do dólar, mas com a possibilidade real de que seus dados pessoais já estejam à venda num fórum da dark web por menos do que ele pagou na taxa de embarque. E a resposta da indústria será sempre a mesma: um comunicado genérico lamentando o ocorrido, a promessa de uma investigação interna, talvez um ano de monitoramento de crédito gratuito como se isso resolvesse alguma coisa. Enquanto o modelo de acumulação compulsória de dados não mudar, enquanto não houver consequências reais para empresas que tratam informações pessoais como commodity descartável, esses ataques vão continuar acontecendo com a regularidade das estações do ano. A diferença é que da próxima vez pode ser o seu passaporte.
Com informações do Canaltech. A análise e opinião são do O Algoz.
