Após o megavazamento de dados de 223 milhões de CPFs , 40 milhões de CNPJs e 104 milhões de registros de veículos, conforme informações de 39.645 brasileiros e 22.983 empresas nacionais já circulam surgindo e gratuitamente na internet – embora os dados anteriores à venda, o hacker tornado pública uma pequena parte das informações. A conclusão é da empresa de segurança Syhunt, que analisou alguns dos arquivos disponibilizados pelo hacker em fóruns na internet.
Um dos arquivos é considerado o catálogo do criminoso – nele, estão, estão, mas não reveladas, conforme as informações que estão à venda. É possível, por exemplo, usar um número de CPF para saber o que está em poder do criminoso. Outros dois pacotes de dados, um para pessoa física e outra pessoa jurídica, são uma espécie de ‘amostra grátis’ daquilo que ele tem para oferecer. Para pessoas físicas, são 37 categorias de informações preenchidas, em média, com dados aleatórios de mil pessoas cada. Para pessoas jurídicas aparecem mil empresas em cada uma das 17 categorias. O número específico de cada massa pode variar.
Dessa forma, a empresa estima que, no total, o hacker tem em mãos quase 1 TB de informação: 650 GB de pessoas físicas, 200 GB de pessoas jurídicas e outros 23 GB referentes às informações de veículos. Um dos dados mais assustadores de todo o vazamento, o pacote com fotos de rosto, tem cerca de 16 GB – a empresa estima que isso se refira a imagens de 1,1 milhão de pessoas.
Segundo os ouvidos pela reportagem, esse pode ser o maior roubo de informações da história do País. A origem do vazamento ainda é desconhecida. Inicialmente, o Serasa era apontado como a fonte dos dados – além do hacker afirmar ter constar como informações junto ao birô de crédito, os pacotes de dados trazem referências à empresa. Uma delas é uma massa que se chama Mosaic, um serviço oferecido pela Serasa. A outra são arquivos no formato PDF que trazem manuais de produtos da empresa, como o score de crédito. O Serasa tem repetido que investigou o caso, concluindo que as informações não têm origem na sua base de dados.
A Syhunt também não conseguiu detectar a origem do vazamento, mas já levanta a hipótese de que como bases de dados de fontes diversas, embora não consiga determinar quais seriam exatamente. “Esse foi o trabalho de um insider , alguém que trabalha ou que prestou serviço para as fontes de vazamento”, diz Felipe Daragon, fundador da Syhunt. Ele explica que o criminoso provavelmente passou bastante tempo compilando como informações de diferentes bancos de dados, o que também indica que uma falha de segurança que acidentalmente ocorreu o vazamento ocorrido durante um período de tempo prolongado.
Outra descoberta da Syhunt contraria uma informação determinada pelo próprio hacker. O criminoso afirma ter dados compilados até agosto de 2019, mas a empresa descobriu informações referentes a 2020, como fotos de rosto e ocupação.
Apesar dos dados estarem divididos em 37 categorias (pessoa física) e 17 categorias (pessoa jurídica), cada uma dessas categorias traz atrelada a si diversas informações diferentes. Por exemplo, a categoria “básico completo” para a pessoa física traz as seguintes informações: CPF, nome completo, sexo, dados de nascimento, idade atual, nome de mãe, nome do pai e estado civil.
Usando as informações disponibilizadas pelo hacker, a Syhunt decidiu criar uma ferramenta gratuita em seu site para pessoas jurídicas, na qual é possível digital o número do CNPJ e descobrir se a empresa foi afetada, e quais dados estão sendo vendidos pelo criminoso. A empresa diz que faz uma checagem para liberar esse relatório.
A Secretaria Nacional do Consumidor (Senacon) e o Procon-SP revelaram a reportagem nesta segunda-feira, 25, que vão notificar o Serasa solicitando explicações sobre o caso. Já a Autoridade Nacional de Proteção de Dados (ANPD) se manifestou apenas na quarta de 27, oito dias após o caso para o público .
Em nota, a ANPD disse que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competente e oficiará para apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, conforme as possíveis consequências e os danos causados pela violação ”.
O órgão afirma ainda que “sugerirá como medidas cabíveis, previsto na Lei Geral de Proteção de Dados, para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”.
O posicionamento da agência é ainda mais tardio considerando que os dados vazados apareceram na internet pela primeira vez em 11 de janeiro.
Fonte: Estadão
Imagem: iStock