O hacker que vazou informações de mais de 220 milhões de brasileiros em janeiro pode lucrar cerca de US$ 15 milhões caso consiga vender todos os dados disponibilizados, estimaram especialistas. O montante equivale a R$ 80,8 milhões.
A Folha teve acesso à publicação do criminoso em um fórum de vendas de informações. Em inglês, o hacker faz a propaganda do que possui: dá a origem dos dados (Brasil), afirma que as informações disponíveis são pessoais e comerciais e afirma que a compra mínima é de US$ 500 (R$ 2.693,75).
Segundo uma tabela de preços publicada pelo criminoso, um lote com dados de até 100 pessoas físicas ou jurídicas custaria cerca de US$ 50 (R$ 269,40), por exemplo.
O megavazamento de dados foi descoberto em 20 de janeiro pelo dfndr lab, laboratório de cibersegurança da Psafe. O número é maior do que o total de habitantes do Brasil, de aproximadamente 212 milhões - o que indica que o vazamento pode incluir informações de pessoas que já morreram e CPFs inativos.
Segundo a dfndr lab, os pesquisadores seguem investigando como essas informações teriam sido obtidas. Ainda não há detalhes ou informações sobre os responsáveis.
Um levantamento mais assertivo feito pela Syhunt apontou que os dados de cerca de 223 milhões de brasileiros foram expostos, além de informações de 40 milhões de empresas e 104 milhões de veículos.
São cerca de 37 grupos de informações diferentes relacionadas às pessoas físicas, que podem englobar: nome completo, CPF, gênero, data de aniversário, estado civil, vínculos (familiares, por exemplo), email, telefone, endereço, ocupação, título eleitoral, RG, escolaridade, poder aquisitivo, fotos de rosto, entre outros.
Para pessoas jurídicas, são 17 grupos de informações que podem incluir CNPJ, nome da empresa, tamanho, número de funcionários, email, telefone, endereço, entre outros.
Outro levantamento também feito pela empresa de segurança Syhunt apontou que os dados de autoridades do país estão entre as informações que o hacker tenta vender na internet. Estariam expostas informações do presidente Jair Bolsonaro (sem partido), do ex-presidente da Câmara Rodrigo Maia e do presidente do Supremo Tribunal Federal (STF), Luiz Fux, entre outros nomes.
Segundo executivos do mercado, as opiniões entre pesquisadores de segurança estão divididas. Há aqueles que acreditam que o vazamento de dados foi um trabalho interno realizado deliberada e maliciosamente por um funcionário.
Outros acreditam que houve uma compilação de vários vazamentos que aconteceram nos últimos anos em um único arquivo. Também é possível que um vazamento mais recente tenha acontecido e sido complementado com informações que já estavam sendo vendidas no mercado.
Segundo Felipe Dagaron, fundador da Syhunt, apesar de o hacker ter referido o arquivo disponível como sendo de um banco de dados do Serasa Experian, não há provas que incriminem a companhia.
Segundo relatório da Syhunt, o criminoso também incluiu pelo menos quatro documentos PDF produzidos pelo Serasa junto com seus arquivos de amostra. Na tabela de preços, o criminoso fixou um preço diferente para informações que ele afirma serem do Mosaic (serviço oferecido pelo birô de crédito): um lote com dados de até 100 pessoas físicas ou jurídicas valeria entre US$ 75 (R$ 404,10) e US$ 100 (R$ 538,80).
"É preciso ter cuidado com essa afirmação, pois não há nenhum indicativo de que de fato a origem de dados seja o Serasa. É preciso de mais dados e de uma investigação mais aprofundada", disse Dagaron.
Em nota, o birô de crédito afirmou que fez uma investigação detalhada em sua base de dados e negou ser a fonte do vazamento.
"Não vemos evidências de que nossos sistemas tenham sido comprometidos. Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas. Concluímos que esta é uma alegação infundada", informou o birô de crédito.
A companhia afirmou que continua monitorando a situação e segue em contato com os reguladores.
O criminoso afirma, ainda, aceitar apenas bitcoins como pagamento.
"Além da maior dificuldade de rastreamento, o fato de a criptomoeda ser mais conhecida também facilita as transações", afirmou o consultor da Sunlit Technologies, Mario Fialho.
As informações, segundo os especialistas, circulam na dark web -espaço no qual o rastreamento dos computadores usados para acessar os sites é praticamente impossível.
Segundo o advogado e diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro, Ronaldo Lemos, um incidente desta magnitude ocorre sempre por uma sequência de erros.
"Dentre eles promover a centralização de base de dados. Quanto mais centralizada uma base de dados, maior o incentivo para que seja atacada e vazada. É uma questão econômica, o incentivo para obter aqueles dados vai se tornando cada vez maior", afirmou.
Lemos disse ainda que esse vazamento de dados é o batismo de fogo da ANPD (Autoridade Nacional de Proteção de Dados). A função da autoridade, neste caso, é completa: coordenar a investigação, analisar a questão, instruir o processo e aplicar penas. "A LGPD deu funções muito amplas para a ANPD", disse o especialista.
Na semana passada a Ordem dos Advogados do Brasil (OAB) Nacional enviou um ofício à ANPD solicitando medidas imediatas para apurar o recente megavazamento de dados.
Em nota, a ANPD afirmou que, desde que tomou conhecimento do vazamento de dados, destacou todo o seu quadro técnico para analisar os aspectos do ocorrido com base na Lei Geral de Proteção de Dados (LGPD).
"A ANPD já recebeu informações do Serasa e, na busca por mais esclarecimentos, oficiou a Polícia Federal, a empresa Psafe, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República", afirmou o órgão.
Diante da especulação de que os dados teriam tido origem no Serasa, a Secretaria Nacional do Consumidor (Senacon) e o Procon-SP notificaram o birô de crédito, pedindo explicações sobre o vazamento de dados.
Questionada sobre a existência de uma investigação sobre o caso, a Polícia Federal não respondeu até a conclusão desta reportagem.
Segundo especialistas, o primeiro passo é ficar atento para todo e qualquer tipo de contato de diferentes empresas. A cautela precisa existir em todos os meios possíveis: email, internet, WhatsApp, telefone ou SMS.
"É preciso ficar atento e desconfiar de comunicações de empresas que oferecem vantagens milagrosas ou prêmios que aparecem repentinamente. É necessário checar se o remetente é confiável, se é representante legítimo da empresa", afirmou Diogo Moyses, do Instituto Brasileiro de Defesa do Consumidor (Idec).
Outro ponto trazido pelos especialistas é o de nunca responder a solicitações de dados pessoais, senhas ou dados bancários.
Nathalie Fragoso, do InternetLab, também afirma que é preciso tomar cuidado com phishing tentativa fraudulenta de obter informações confidenciais por meio de um disfarce de entidade confiável em uma comunicação eletrônica.
"É importante prestar atenção no que clica, não clicar em links que não conheça, não abrir emails que não tenha garantias de que são autênticos e seguros. Dá para entrar em contato com as instituições remetentes", disse.
Segundo os especialistas, apesar de não ser possível desvazar os dados ou apagá-los da internet, a troca de senhas pode, sim, ser mais um fator de segurança.
O ideal é que a senha contenha caracteres maiúsculos e minúsculos, números e símbolos. Senhas como o nome do pai ou da mãe, datas de aniversário ou sequências numéricas são consideradas frágeis e podem ser facilmente quebradas, deixando o usuário exposto na internet.
Especialistas também indicam habilitar autenticações de dois fatores - como senha e biometria.
A primeira medida é fazer um boletim de ocorrência.
"A notícia-crime deve ser feita caso a pessoa detecte que ocorreu algum uso indevido dos seus dados. Mas sobre o vazamento em si é praticamente ineficaz, já que praticamente todos os cidadãos tiveram seus dados vazados. Seriam 200 milhões de BO´s que, ainda assim, não resolveriam o problema", disse Lemos.
Os especialistas também aconselham entrar em contato com o banco ou com a empresa na qual a conta falsa foi criada.
Segundo o presidente da Combate à Fraude, Leonardo Rebitte, mudar o email utilizado e até mesmo o telefone, dependendo da situação, podem ser alternativas.
"Em última instância, dependendo do impacto que o consumidor sofreu com o vazamento de duas informações, é possível tentar o cancelamento do CPF atual e o pedido de um novo número na Receita Federal", disse Rebitte.
Os especialistas afirmam ser difícil para o consumidor averiguar a veracidade desses sites. Assim, orientam cautela e dizem que, na dúvida, é melhor evitar.
"Quase todos os brasileiros tiveram seus dados vazados. Isso significa que muito provavelmente, seus dados estarão lá. Então a ideia é evitar usar esses sites para não correr o risco de ser um link malicioso e acabar entregando ainda mais informações pessoais", disse Rebitte.
Para especialistas, indica que o Brasil ainda não tem níveis adequados de segurança da informação.
"São muitos dados privados de fontes muito distintas e todos acabaram vazando. O importante da segurança da informação é criar cadeias de segurança, o que não ocorreu", afirmou Lemos.
"Isso revela a urgência da implementação, do fortalecimento do ecossistema de proteção de dados, que já está em vigor com a LGPD. É hora de fazer ela valer", disse Fragoso, do InternetLab.
Sim. Segundo Lemos, a lei cria uma série de direitos, como pedir a retificação de dados, o direito de pedir a exclusão de informações e o direito de pedir para saber o que cada empresa tem de dados sobre você. "Fazer isso tudo sozinho, no entanto, dá muito trabalho", disse.
A aplicação de multas e punições no âmbito da LGPD, porém, só devem começar a ser aplicados em agosto deste ano.
Notou alguma informação incorreta no conteúdo de A Gazeta? Nos ajude a corrigir o mais rapido possível! Clique no botão ao lado e envie sua mensagem
Envie sua sugestão, comentário ou crítica diretamente aos editores de A Gazeta