Megavazamento expõe 223 milhões de CPFs e promete ficha completa em troca de bitcoins. Caso é prova de fogo para a recém-criada Autoridade Nacional de Proteção de Dados
Dados vazados podiam ser acessados por qualquer um até o início da semana. Reportagem checou amostra de dados que se mostrou autêntica.
Dados vazados podiam ser acessados por qualquer um até o início da semana. Reportagem checou amostra de dados que se mostrou autêntica. Foto de TYRZA VAN DIJK.
Um megavazamento de dados pessoais de 223 milhões de brasileiros tornado público na semana passada pela empresa de segurança digital PSafe pode ser o maior na história do país e tem tudo para ser a primeira prova de fogo da Autoridade Nacional de Proteção de Dados (ANPD), criada a partir da entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em agosto do ano passado. Também é o primeiro incidente desta magnitude que se tem notícia no Brasil. A lista com milhões de nomes completos, CPFs e datas de nascimento —de pessoas vivas e mortas— estava disponível para download gratuito a partir de um fórum de discussão na deep web —cópias do arquivo original foram feitas e podiam ser encontradas por qualquer um a partir de buscadores de internet. Em troca de bitcoins, o perfil anônimo responsável pelo vazamento dizia ser possível obter ainda retratos, endereço, telefone, declaração do Imposto de Renda, listas de familiares, renda mensal, score de crédito e muito mais dos alvos em questão. Na terça-feira, após a repercussão do caso, o material foi retirado do ar no fórum de livre acesso com qualquer navegador, mas continua em negociação na deep web.
Na lista há dados de gente famosa e autoridades públicas. De acordo com a PSafe, cibercriminosos também tiveram acesso a informações detalhadas sobre mais de 104 milhões de veículos e dados sigilosos de 40 milhões de empresas.
“O vazamento é real, confirmada a autenticidade de todos os dados, é o maior vazamento da história do Brasil e certamente um dos maiores do mundo”, afirma Marco DeMello, CEO da PSafe. “Estávamos monitorando a deep web para alguns de nossos clientes e nos deparamos com milhões de CPNJs em negociação, rastreamos e chegamos na fonte”, diz. Ele afirma que a equipe de segurança da empresa entrou em contato com o hacker, que disse cobrar 100 dólares por pacotes com os registros de mil pessoas, empresas ou veículos. Ele diz não ser brasileiro e que vai vender no máximo 1 milhão de contatos para cada comprador, pois pretende ganhar dinheiro com essa base de dados por muito tempo ainda. Segundo DeMello, nas conversas o hacker diz que roubou a base dados da Serasa/Experian, empresa de análise de crédito que cria perfis dos consumidores brasileiros entre outras atividades, mas não tem como saber se isso é verdade. A mesma alegação aparece na página onde ele vende o material, assim como no nome de alguns arquivos.
Procurada pela reportagem através de sua assessoria de imprensa, a Serasa/Experian respondeu, após a publicação, que a empresa não é a fonte dos dados vazados. “Embora o hacker afirme que parte dos dados veio da Serasa, com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte”, diz a nota enviada. “Também não vemos evidências de que nossos sistemas tenham sido comprometidos”, afirma a empresa, que ainda diz não possuir todos os dados oferecidos na internet e que está em contato com autoridades reguladoras para ajudar no caso.
Os dados estavam disponíveis no fórum de discussões desde o começo do mês e foram identificados pela empresa de segurança na terça-feira da semana passada, e teriam sido extraídos da fonte original por 18 meses entre 2018 e 2020. Segundo o CEO da PSafe, algumas informações foram checadas por amostragem e são reais. “É assustador, porque com isso qualquer golpista que comprar os dados pode fazer coisas inimagináveis em nome de outras como comprar e vender veículos e imóveis, contrair dívidas, invadir contas bancárias e outros sistemas informatizados que usam essas imagens, abrir empresas, o estrago possível é muito grande”, diz DeMello.
Para ele, o hacker responsável pelo vazamento parece ser bastante profissional e vai ser muito difícil rastrear sua identidade e origem. Enquanto isso, virtualmente todos os brasileiros estão com seus dados à venda na internet e por hora não há nada de concreto que possa ser feito. O executivo acredita que a ANPD, Ministério Púbico Federal e Polícia Federal deveriam investigar a história. DeMello alerta que todos devem ficar atentos para movimentações atípicas na conta bancária e cartão de crédito, assim como avisos de cobranças e outras pistas que seu nome possa ter sido utilizado em uma fraude.
O EL PAÍS também conversou com um profissional de tecnologia da informação que teve acesso ao material disponibilizado de graça para testar sua veracidade. De cerca de cinco nomes aleatórios sugeridos pela reportagem, após busca no banco de dados, o profissional voltou com os resultados corretos de CPF e data de nascimento em todos os casos e de gênero, em quase todos. “Eu baixei porque queria saber se o material era de verdade, mas deve ter muita gente que pegou os dados para usar de forma mal intencionada”, diz ele, que pediu para não ser identificado na reportagem pois não tem certeza se com a cópia dos dados cometeu alguma ilegalidade ou não.
Para Rafael Zanatta, advogado e diretor da Associação Data Privacy Brasil, o caso deve ser investigado pela ANPD, mesmo que seus quadros ainda estejam em formação. “A ANPD já possui servidores, áreas técnicas e cinco diretores”, afirma o advogado especialista proteção de dados. “Mesmo sem a formação final do Conselho, ela poderia, em tese, iniciar a fase de inquérito. Caso precise de suporte nessa investigação, pode promover acordos de cooperação técnica com a Secretaria Nacional do Consumidor, do Ministério da Justiça”.
“Pelo volume, natureza e variedade dos dados de acordo com a denúncia da PSafe, parece ser bastante grave pois a possibilidade de fraudes de identidade e golpes de engenharia social é concreta”, diz Zanatta. “Pairam muitas dúvidas sobre a origem dos dados. Até o momento não há condições de identificar os agentes responsáveis e essa é a questão central a ser resolvida em um primeiro momento, por meio de uma investigação”. Zanatta ressalta é preciso uma análise forense para atestar a veracidade de todo o banco de dados e sua origem. “Até o momento temos apenas amostras verificadas e a promessa de autenticidade do hacker”, diz.
A reportagem enviou um email para a ANPD onde questiona se foi aberta uma investigação para apurar a veracidade, extensão e origem do megavazamento de dados pessoais dos cidadãos brasileiros, mas não respondeu até a publicação desta reportagem.
A Lei Geral de Proteção de Dados que entregou há pouco em vigor possui vários artigos que versam sobre incidentes de segurança, como a criação de Planos de Resposta a Incidentes de Segurança por empresas e entes públicos. Prevê sanções que vão desde uma advertência até uma multa de 2% sobre o faturamento anual até o máximo de 50 milhões de reais e a proibição da fonte do vazamento de continuar a tratar dados sensíveis. No entanto, as punições só devem ser aplicadas a partir de agosto de 2021.
Nenhum comentário:
Postar um comentário