Notícias

Megavazamento de dados de 223 milhões de brasileiros: o que se sabe e o que falta saber

19-03-megavazamento

Fonte G1.

O megavazamento de dados de 223 milhões de brasileiros é maior do que a população do país, estimada em 212 milhões, porque inclui dados de falecidos. Informações expostas incluem CPF, nome, sexo e data de nascimento, além de uma tabela com dados de veículos e uma lista com CNPJs. Origem dos dados ainda é desconhecida.

Quais dados vazaram?

Foram dois vazamentos:

Um deles tinha 223 milhões de números de CPF acompanhado de informações como nome, sexo e data de nascimento, além de uma tabela com dados de veículos e uma lista com CNPJs (Cadastro Nacional de Pessoas Jurídicas). Essas informações circulam na internet de forma gratuita.

O outro incluía, além dos 223 milhões de CPFs, informações sobre escolaridade, benefícios do INSS e programas sociais (como o Bolsa Família), renda, entre outras informações. Esse está sendo vendido por criminosos.

Juntos, os dois vazamentos continham:

  • Dados básicos relativos ao CPF (nome, data de nascimento e endereço).
  • Endereços.
  • Fotos de rosto.
  • Score de crédito (que diz se é bom pagador), renda, cheques sem fundo e outras informações financeiras.
  • Imposto de renda de pessoa física.
  • Dados cadastrais de serviços de telefonia.
  • Benefícios do INSS.
  • Dados relativos a servidores públicos.
  • Informações do LinkedIn.

Quem vazou?

Os dados foram publicados por um criminoso em um fórum on-line dedicado a comercialização de bases de dados. O mesmo indivíduo ofertou a lista de CPFs gratuitamente é o que vende as outras informações.

No dia 19 de março, a Polícia Federal predeu o hacker acusado de colocar as informações à venda.

De acordo com a investigação, Marcos Roberto Correia da Silva, conhecido como “Vandathegod”, foi o responsável pela divulgação das informações de 223 milhões de brasileiros.

A PF também apura a participação do hacker conhecido como “JustBR” na divulgação e comercialização dos dados sigilosos.

Marcos Roberto Correia da Silva também é investigado por ter participado da invasão que expôs informações administrativas de ex-servidores e ex-ministros do TSE no primeiro turno das eleições municipais de 2020.

Além disso, é investigado pela Polícia Civil de Minas Gerais por invasão de dispositivo e estelionato.

Como saber se um dado meu foi vazado?

O número de CPFs vazados (223 milhões) supera a população brasileira (estimada em 212 milhões). Então é provável que pelo menos dados básicos de cada cidadão estejam disponíveis e que, entre eles, estejam dados de pessoas já falecidas.

Não é possível afirmar que todas as informações sejam verdadeiras, mas muitas delas estão corretas.

As pessoas não têm como saber se alguma informação específica a seu respeito consta em um dos vazamentos. A base da consulta é um índice publicado pelo criminoso que indica quais CPFs existem em cada um dos pacotes vazados, mas não é possível saber se as informações de fato existem e estão corretas.

Por isso, é preciso ter cuidado com sites criados para supostamente verificar se um CPF está entre as informações vazadas.

Também não há detalhamento dos dados, o que pode dar uma impressão falsa sobre o que consta no vazamento (o “Imposto de Renda” vazado pode indicar apenas o lote de restituição do IR, não informações precisas sobre a renda, por exemplo).

Serviços que verificam vazamentos precisam de métodos não invasivos para conferir a autenticidade do pedido, mas a solicitação nesse caso exige o CPF, ou seja, é necessário fornecer dados pessoais para fazer a consulta, o que não é considerado uma prática segura.

Não havendo detalhamento dos dados vazados nem a possibilidade de saber se resultado é correto, o uso desse tipo de serviço acaba sendo um risco desnecessário.

No entanto, é possível verificar junto aos bancos que contas, movimentações de crédito (fatura do cartão, financiamentos e empréstimos) e cambiais foram feitas em seu nome. Para isso, existe o registrato. É possível fazer o cadastro pelo aplicativo do banco no celular e pela internet.

De onde são esses dados vazados? 

Ainda não se sabe de onde esses dados foram roubados. É possível que o pacote tenha sido consolidado a partir de diversas fontes, incluindo outros vazamentos anteriores.

Algumas das informações que constam no vazamento fazem referência a empresas ou serviços, mas não é possível afirmar se esses dados realmente foram retirados das companhias mencionadas.

Ao longo dos anos, diversas informações pessoais de brasileiros vazaram, partindo inclusive de órgão do governo.

Órgãos de defesa do consumidor, como o Procon-SP e a Secretaria Nacional do Consumidor (Senacon), notificaram a empresa Serasa Experian com pedidos de explicações sobre origem dos dados. A Serasa nega que seja a fonte dos dados.

Como se deu o vazamento?

Como ainda não se sabe a origem exata dos dados, não há informações de como esse vazamento aconteceu.

É possível que o pacote tenha sido consolidado a partir de diversas fontes: o criminoso reuniu dados de vários vazamentos para vendê-los numa lista única.

Por que o número de CPFs vazados é maior do que a quantidade de pessoas no país?

Foram vazados dados de 223 milhões de CPFs, enquanto a população estimada do país é de 212 milhões. Isso ocorreu porque informações de pessoas que já morreram também foram expostas.

Que prejuízos podem acontecer para quem tiver um dado vazado?

Criminosos podem usar dados pessoais para aplicar golpes dos mais variados tipos.

Munidos de uma série de dados pessoais, criminosos podem tentar se passar por alguém em interações com empresas ou praticar golpes como o saque indevido do FGTS (Fundo de Garantia do Tempo de Serviço).

Uma tática comum é enviar e-mails ou mensagens falsas para vítimas, em nome de empresas como bancos e tentar obter vantagens financeiras.

É possível, por exemplo, que criminosos enviem faturas falsificadas (como telefone, internet, IPVA, IPTU, entre outras) por e-mail. A vítima, identificando uma série de dados pessoais corretos, acredita que aquele débito é real e faz o pagamento.

O megavazamento está sendo investigado? A quem cabe isso?

Polícia Federal abriu uma investigação no dia 3 de fevereiro, a pedido da Autoridade Nacional de Proteção de Dados (ANPD). No dia 19 de março, a Polícia Federal prendeu o hacker suspeito de colocar as informações à venda.

A ANPD foi criada em agosto de 2020, um mês antes de a Lei Geral de Proteção de Dados (LGPD) entrar em vigor. A autoridade, porém, ainda não está funcionando de fato. O órgão está constituído, mas ainda não publicou nenhuma das regulamentações previstas em lei.

Um dia antes do anúncio da investigação da PF, o jornal “O Estado de S.Paulo” afirmou que dados do presidente Jair Bolsonaro teve dados expostos e ministros do STF tiveram até seus dados vendidos na internet.

Existe proteção de dados no Brasil? Que punições podem acontecer por causa deste vazamento?

Existe a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2020, e tem como objetivo garantir mais segurança e transparência às informações pessoais coletadas por empresas públicas e privadas.

A lei prevê punições que vão desde advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões.

  • LGPD: o que muda para os cidadãos?

Esse dinheiro é destinado ao Fundo de Defesa de Direitos Difusos (FDD), que financia projetos que tenham como objetivo reparação de danos ao consumidor, meio ambiente, patrimônio e outros.

De qualquer forma, a agência não poderia aplicar multas antes de agosto de 2021, por decisão do Congresso.

Como proteger meus dados de vazamentos?

Neste caso específico, não havia nada que um cidadão pudesse fazer para proteger os seus dados.

A falta de qualquer regra ou limite para a guarda de dados no Brasil, aliada ao excesso de burocracia, sempre incentivou que empresas e órgãos do governo mantivessem todos os dados possíveis – inclusive os que não eram necessários.

Para realizar cadastros em muitos sites, serviços e até programas governamentais, é necessário fornecer informações que nos identifiquem.

A dica geral, no entanto, é ter cautela e cuidado ao incluir dados pessoais em páginas da internet que não são confiáveis – não é recomendável, por exemplo, fornecer seu CPF em uma página que divulga um suposto sorteio.

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *