CIÊNCIA & TECNOLOGIA
Tudo o que você precisa saber sobre o megavazamento de dados
Vazamento expôs informações pessoais de mais de 220 milhões de brasileiros na web
Janeiro trouxe a notícia de que um enorme vazamento de dados expôs informações pessoais de mais de 220 milhões de brasileiros na Internet. Os dados estariam disponíveis em fóruns da Deep Web, onde já eram vendidos para que possam ser utilizados em tentativas de golpe por cibercriminosos.
Ao longo das últimas semanas, o evento passou a ser classificado como um dos maiores roubos de informações da história do País. O incidente levou a pedidos de investigação pela Ordem dos Advogados do Brasil (OAB) e a declarações da Autoridade Nacional de Proteção aos Dados (ANPD), que analisa o ocorrido.
Para quem quer ficar por dentro da linha do tempo do ocorrido e pelo impacto do incidente, compilamos os eventos dos últimos dias em um só lugar. Confira:
Quando os dados foram vazados?
O megavazamento de dados de brasileiros veio a público pela primeira vez em 19 de janeiro, quando foi exposto pelo laboratório de segurança digital dfndr lab, da PSafe. A listagem dos dados na Deep Web, no entanto, é mais antiga.
Segundo Fabio Ramos, CEO da Axur, empresa que monitora o tráfego de dados pela Deep Web e Dark Web, o anúncio original foi postado em um fórum conhecido de comercialização de informações roubadas no dia 11 de janeiro.
No dia 14, o usuário responsável pela postagem original fez uma nova publicação trazendo uma seleção de dados para comprovar que tinha acesso às informações. Os primeiros dados divulgados foram relativos a pessoas físicas.
No dia 15 de janeiro, novos dados foram revelados, desta vez de uma base de dados de pessoas jurídicas. Por fim, em 18 de janeiro, dados sobre veículos foram divulgados. No fórum, o acesso aos dados estava sendo vendido em lotes de mil consultas, por aproximadamente de US$ 100/lote.
Quais dados foram vazados?
No total foram vazados mais de 223 milhões de CPFs. O número é maior do que a atual população do Brasil, o que indica que CPFs inativos e informações de pessoas que já faleceram também integram a lista.
Informações pessoais como data de nascimento, endereço, telefone, e-mail, score de crédito, salário e renda também estão disponíveis, assim como um banco de dados de fotos de rosto.
Conforme revelado entre os dados vazados estão as informações do presidente da República, Jair Bolsonaro (sem partido), do ex-presidente da Câmara dos Deputados, Rodrigo Maia (DEM-RJ), do ex-presidente do Senado, Davi Alcolumbre (DEM-AP), e dos 11 ministros do Supremo Tribunal Federal (STF).
A lista traz ainda informações de 40 milhões de empresas, contendo CNPJ, razão social, nome fantasia e data de fundação. Por fim, informações sobre mais de 104 milhões de veículos, contendo número de chassi, placa do veículo, município, cor, marca, modelo, ano de fabricação, cilindradas e até mesmo o tipo de combustível utilizado.
No total, se estima que o hacker tenha quase 1 TB de dados, sendo 16 GB deles de fotos de rosto de pessoas – o que representaria cerca de 1,1 milhão de imagens.
Por que esse vazamento é importante?
Ainda que o volume de dados encontrados desta vez seja impressionante, Ramos, da Axur, pontua que vazamentos deste tipo não são raros na Deep Web.
“É uma coisa super comum, toda semana a gente vê consultas à base de dados. É uma coisa que, nos últimos cinco anos, é trivial na deep web. É assim que os criminosos conseguem fazer golpes, eles precisam dessas informações”, explicou.
Há, no entanto, uma série de fatores que levam o caso a ser classificado como “atípico” pela companhia. A riqueza de detalhes é uma delas – como, por exemplo, as informações de veículos trazerem elementos como número de chassis e cilindradas.
De onde os dados vieram?
A origem dos dados vazados na Deep Web ainda é um mistério. Logo após o vazamento, as suspeitas se voltaram contra a Serasa Experian, empresa de análise de crédito.
A hipótese se deve a semelhanças entre os dados contidos no vazamento e os dados que são usados pela companhia. A Serasa nega e afirma que realizou uma análise detalhada de sua base que não apontou para qualquer vazamento.
Para Ramos, algumas características dos dados dão sinais de qual é a possível origem da compilação. Uma destas características é que os bancos são “inconsistentes” em termos de qualidade, incluindo erros de endereço e erros de email, por exemplo. Vários dos dados também são considerados antigos, o que sugere que mais de uma fonte foi utilizada.
“São várias confusões que demonstram que [o banco de dados] foi montado ao longo do tempo, mas não com muito cuidado”, avalia. “Não é uma base que serviria para uma empresa privada. Uma das hipóteses que a gente trabalha é a de uma montagem por um criminoso, que não tem todo o recurso que uma empresa privada tem, nem toda a necessidade de cuidado de uma base de alta qualidade como uma empresa privada teria”.
O caso já está sendo investigado?
Ainda que os dados tenham vindo a público em meados de janeiro, alguns dias se passaram antes que autoridades e órgãos governamentais começassem a se manifestar.
No dia 28, a Ordem dos Advogados do Brasil (OAB) pediu que a Autoridade Nacional de Proteção de Dados (ANPD) investigasse o caso, que julgou ter potencial de “risco pessoal e irreparável” aos cidadãos do país.
“O ocorrido submete praticamente toda a população brasileira a um cenário de grave risco pessoal e irreparável violação à privacidade e precisa ser investigado a fundo pelas autoridades competentes, em particular por essa agência”, destaca o ofício da OAB.
Ainda em constituição, a ANPD se manifestou em nota e afirmou que destcou “todo seu quadro técnico para analisar, com base na LGPD, os aspectos que cercam o ocorrido”. A Lei Geral de Proteção de Dados, vale lembrar, entrou em vigência em setembro do ano passado e determina uma série de regras para o tratamento de dados no Brasil.
A agência apontou ainda que já havia oficiado à Polícia Federal, a empresa Psafe, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República.
A Secretaria Nacional do Consumidor (Senacon) e o Procon-SP também se manifestaram sobre o caso.
Devo tomar cuidado?
O megavazamento de dados é considerado um evento preocupante de cibersegurança para os cidadãos brasileiros. Munidos das informações que são sendo vendidas na Deep Web, criminosos poderiam aplicar golpes como pedir crédito no nome de outra pessoa ou abrir uma conta laranja.
Com esses dados em circulação, a expectativa é que haja uma aceleração de tentativas de fraude, o que exige atenção extra do cidadão. “A gente vai passar por um período bem crítico, em que as pessoas precisam estar muito atentas ao extrato bancários, às faturas de cartão de crédito e a pedidos de crédito em nome da pessoa”, explica o CEO da Axur.
O evento, no entanto, tem um “papel educativo para a socidade”, na avaliação do executivo, e alerta a população para a importância da proteção de informações sensíveis e dados no país.