Nós investigamos! Tudo o que você queria saber sobre o vazamento de 220 milhões de CPF

 

Durante a semana passada, vários meios de comunicação nacionais e estrangeiros noticiaram o que deveria ser a maior violação de dados da história do Brasil: um cibercriminoso teria posto as mãos em um banco de dados contendo nada menos que 220 milhões de números de telefone. Previdência social, 40 milhões de CNPJ e informações detalhadas sobre 140 milhões de veículos cadastrados em órgãos estaduais de trânsito.

O alerta inicial foi emitido pelo dfndr lab, laboratório de pesquisa do PSafe; Posteriormente, sites e blogs especializados em tecnologia revelaram que o impacto do incidente seria muito maior do que o inicialmente divulgado pela empresa, uma vez que a cobrança incluiria também dados de pessoas como renda, endereço, profissão, possíveis dívidas com órgãos de proteção ao crédito e até fotografias..

Mas, afinal, o que realmente aconteceu? LA O hack Como de costume, preferiu não comentar imediatamente e preparar o conteúdo somente após a verificação de certos fatos. Estamos investigando o incidente desde a noite de sexta-feira passada (ou seja, 22 de janeiro) e, após uma longa investigação, podemos confirmar que se trata de um vazamento verdadeiramente catastrófico e preocupante.

Ok, vamos para o começo

O alerta inicial emitido pelo laboratório dfndr não mencionava esse fato, mas o vazamento em questão foi identificado no RaidForum, um fórum hospedado na superfície da web com o objetivo de comprar e vender bancos de dados roubados (bem como outros artigos específicos à prática de crimes cibernéticos ., incluindo exploits, tutoriais, etc.). No dia 14 de janeiro, um usuário identificado apenas como JustBR disponibilizou, gratuitamente, uma base de 223 milhões de CPF.

A coleção, que não tem menos de 14 GB quando descompactada, contém apenas o número do documento, o nome completo do cidadão, sexo e data de nascimento. Segundo o usuário do fórum, a build foi feita em agosto de 2019 e “não faz parte de nenhuma outra build conhecida, sendo oferecida exclusivamente pela JustBR”. No entanto, essa base é apenas uma pequena amostra do que o criminoso pode fazer.

Em outro tópico publicado três dias antes, o JustBR anunciou, comercialmente, um serviço completo de coleta de dados teoricamente da Serasa Experian, a mais famosa agência de crédito do Brasil. O golpista disponibilizou um arquivo com exemplos de dados que ele poderia coletar, tanto de pessoas físicas quanto jurídicas, observando, porém, que o pedido mínimo seria de $500.

O anúncio veio com outra amostra, que The Hack teve o prazer de acessar. A quantidade de informações pessoais que o JustBR diz ser capaz de coletar (e atesta essa capacidade com a amostra analisada) é impressionante, podendo ser divididas em 37 categorias diferentes, devidamente organizadas em diretórios dentro da base amostral.

Temos CPF, RG, nome completo, sexo, data de nascimento, nome dos pais, estado civil, ano de atualização dos dados, email, endereço, ocupação, telefones, escolaridade, estado civil, classe social, salário, outras rendas, informações sobre benefícios (Bolsa Família, FGTS, INSS), declaração de imposto de renda (IRPF), PIS, NIS, CNS, poder de compra, pontuação de crédito e muito mais.

O mais interessante é que um dos diretórios da amostra analisada se chama “Mosaico”, nome da solução Serasa Experian que segmenta a população brasileira em 11 grupos e 40 segmentos diferentes. Num arquivo CSV, encontramos vários alvos como “Experiências urbanas de convivência confortável”, “Funcionários de meia-idade das grandes cidades”, “No coração da periferia”, “Massa de trabalhadores urbanos” e “Pedaço de terreno”

Além disso, encontramos documentos em PDF com todo o material de comunicação oficial das soluções Serasa para pessoas jurídicas. Esses PDFs incluem guias legítimos que ajudam a entender o cálculo da pontuação de crédito, as segmentações em mosaico e os modelos de afinidade. (ou seja, perfis de consumo online e offline de cada membro de cada segmento).

E quanto a pessoas jurídicas?

Na área do CNPJ, não temos um leque de informações tão amplo; ainda assim, a quantidade de dados também é impressionante. Além do número do registro, temos acesso ao telefone, representante legal, e-mail de contato, endereço, CNAE, capital social, classe de operação, pontuação de crédito, cheques sem fundo e até informações fiscais do Simples Nacional.

O que a Serasa Experian diz?

Procurada pelo Hack, a Serasa Experian disse que continua investigando o caso, mas garante que, até o momento, não há evidências de que a base tenha sido exfiltrada de seus sistemas. Veja o posicionamento da empresa em sua totalidade:

“Tem havido notícia na mídia de que um hacker oferece ilegalmente dados de cidadãos brasileiros na web. Embora o hacker afirme que alguns dos dados vieram da Serasa, com base em nossa análise detalhada até o momento, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos.

Realizamos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem itens que nem mesmo temos em nossos sistemas, e os dados que afirmam ser atribuídos à Serasa não correspondem aos dados de nossos arquivos.

Concluímos que esta é uma reivindicação infundada.

Continuamos monitorando ativamente a situação e entrando em contato com os reguladores para ajudá-los com quaisquer dúvidas que possam ter sobre este assunto. Estamos fortemente empenhados em proteger a privacidade dos dados pessoais que processamos e acreditamos que temos os sistemas de segurança necessários em funcionamento para o fazer.”

Autoridades falam

Uma das primeiras entidades a comentar o vazamento foi a Fundação Paulista de Defesa e Defesa do Consumidor (Procon-SP). Em nota enviada ao The Hack, a agência confirmou que havia enviado notificação à Serasa Experian para que o escritório explicasse o incidente – bem como possíveis ações para conter a divulgação dos dados postados na web.

(Reprodução: Governo do Estado de São Paulo)

“Vamos aguardar a resposta da empresa para analisar e avaliar as sanções compatíveis. As sanções previstas na LGPD, que podem chegar a 50 milhões, podem ser aplicadas a partir de agosto, mas o Procon-SP pode multar de acordo com o Código de Defesa do Consumidor (CDC) ”, comentou o diretor-executivo do Procon-SP, Fernando. Capez. A Serasa teria que responder até este último sábado (30).

Além disso, na quarta-feira (27), a redação do The Hack contatou o diretor da Autoridade Nacional de Proteção de Dados (ANPD), Arthur Pereira Sabbat, sobre a posição da agência sobre o assunto. O Sabá inicialmente respondeu dizendo que a autoridade ainda não tinha nada a compartilhar sobre o incidente; posteriormente, porém, a ANPD disse que já estava investigando o caso para apurar a origem do vazamento, como ocorreu, as medidas de contenção e as possíveis consequências do descumprimento.

A passividade da ANPD incentivou a Ordem dos Advogados do Brasil (OAB) a enviar carta nesta quinta-feira (28) solicitando urgência na investigação. “O evento submete praticamente toda a população brasileira a um cenário de grave risco pessoal e violação irreparável de privacidade e precisa ser minuciosamente investigado pelos órgãos competentes, em especial por este órgão”, destaca a carta.

A Secretaria Nacional do Consumidor (Senacon) também abriu uma investigação para apurar o ocorrido.

Todo cuidado é pouco

De acordo com reportagem do G1, Criminosos já podem estar usando os dados vazados para realizar fraudes, incluindo saques ilegais de saldos do FGTS por meio do aplicativo Caixa Tem. The Hack aconselha toda a população brasileira a ser cautelosa enquanto as autoridades investigam o incidente; Verifique frequentemente o seu equilíbrio de emprego e benefícios sociais e redobre sua atenção com golpes de phishing.

 

Fonte: https://thehack.com.br/

Você pode gostar também

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado.

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.