48 3052-8500

O maior vazamento de dados do país - OSTEC | Segurança digital de resultados

Geral 3min de Leitura - 29 de janeiro de 2021

O maior vazamento de dados do país

Torneiras abertas com códigos binários saindo dela, simbolizando um vazamento de dados.

This post is also available in: Português

Um megavazamento expôs 223,74 milhões de dados de brasileiros. O número chega a ser maior do que a população do país, estimada em 212 milhões, pois inclui dados de falecidos. O caso põe a prova a recém criada Autoridade Nacional de Proteção de Dados (ANPD) e é o maior vazamento de dados do país.

A PSafe, empresa de segurança digital, denunciou na semana passada o maior vazamento de dados do Brasil, que a princípio seriam apenas CPF, data de nascimento e gênero. Mas no dia 19 de janeiro, foi identificado um segundo vazamento, que expôs dados mais sensíveis, que podem levar a uma onde de cibercrimes.

A lista com milhões de nomes completos, CPFs e datas de nascimento de pessoas vivas e falecidas, estava disponível para download gratuito em um fórum de discussão na deep web. Cópias do arquivo de dados original foram feitas e poderiam ser encontradas por qualquer pessoa a partir de simples busca na internet.

O perfil anônimo responsável pelo vazamento, disse que, em troca de bitcoins, poderia obter fotos, endereços, telefone, declaração de Importo de Renda, lista de familiares, renda mensal, score de crédito e muito mais informações dos alvos em questão. Após a repercussão do caso, o material foi retirado do ar no fórum de livre acesso com qualquer navegador, porém, continua em negociação na deep web.

Segundo a PSafe, a lista traz dados de celebridades e autoridades públicas. Os autores do crime também tiveram acesso a informações detalhadas sobre mais de 104 milhões de veículos e dados sigilosos de 40 milhões de empresas.
Marco DeMello, CEO da PSafe diz:

“O vazamento é real, confirmada a autenticidade de todos os dados. É o maior vazamento da história do Brasil e certamente um dos maiores do mundo.

Estávamos monitorando a deep web para alguns de nossos clientes e nos deparamos com milhões de CNPJs em negociação, rastreamos e chegamos na fonte.”

DeMello ainda afirma que a equipe de segurança da PSafe contatou o cracker responsável, que diz não ser brasileiro. O cracker cobra US$ 100 por pacote com os registros de mil pessoas, empresas ou veículos.

O cracker afirma que roubou a base de dados da Serasa/Experian, empresa de análise que cria perfis dos consumidores brasileiros, porém, não é possível saber se essa informação é verídica, apenas de constar na página onde ele vende o material e em alguns arquivos.

A Serasa, através de sua assessoria de imprensa, alegou em nota enviada que a empresa não é a fonte dos dados vazados. “Realizamos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos. Também não vemos evidências de que nossos sistemas tenham sido comprometidos”.

Estimasse que os dados foram extraídos da fonte original por 18 meses, entre 2018 e 2020. DeMello afirma que algumas informações foram checadas por amostragem e são reais.

“É assustador, porque com isso, qualquer golpista que comprar os dados pode fazer coisas inimagináveis em nome de outras pessoas, como comprar e vender veículos e imóveis, contrair dívidas, invadir contas bancárias e outras sistemas informatizados que usam essas imagens, abrir empresas… Enfim, o estrago possível é muito grande”, disse DeMello.

O CEO da PSafe acredita que o cracker responsável por esse vazamento parece ser um profissional muito preparado e que rastrear sua identidade e origem pode ser uma tarefa muito difícil. Ele ainda alerta todos os cidadãos brasileiros que fiquem atentos a movimentações atípicas em suas contas bancárias e cartões de crédito, assim como avisos de cobranças e outras pistas que seu nome possa ter sido utilizado em uma fraude.

Primeira prova de fogo da ANPD?

Para DeMello, a Autoridade Nacional de Proteção de Dados (ANPD) deveria investigar o caso.

A ANPD foi criada a partir da entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em agosto do ano passado. Porém, a Autoridade ainda não está funcionando de fato. O Órgão está constituído, mas ainda não publicou nenhuma das regulamentações previstas em lei.

A imprensa já tentou contato com a Autoridade, mas até o momento não obteve uma resposta.

Este seria o primeiro caso do Órgão, e de uma magnitude jamais vista no país. A LGPD prevê punições que vão desde advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões. O dinheiro é destinado ao Fundo de Defesa de Direitos Difusos (FDD), que financia projetos que tenham como objetivo reparação de danos ao consumidor, meio ambiente, patrimônios e outros.

Porém, mesmo que a Agência consiga identificar de qual empresa os dados foram vazados, por decisão do congresso, as multas só poderão ser aplicadas a partir de agosto deste ano.

Os cidadãos não têm muito o que fazer neste caso além de ficar atentos a movimentações estranhas em suas contas bancárias, cartões e notificações que usam seu nome.

Se você possui uma empresa e não sabe se ela está de acordo com a LGPD, realize nosso diagnóstico LGPD ou converse com nossos especialistas.

This post is also available in: Português

Botnet Emotet foi inativado pelas autoridades

Postagem anterior