bit.ly/2MkrXEB | Dados pessoais de 223 milhões de brasileiros estão sendo comercializados em um site hospedado fora do país e em fóruns na dark web. Trata-se do maior vazamento de dados já ocorrido no Brasil e um dos maiores da história em volume de dados, de acordo com a empresa de tecnologia PSafe, que atua no ramo de cibersegurança e descobriu a fraude.

As informações foram coletadas ilegalmente por um hacker que afirma ser estrangeiro, viver no exterior e vender o material em lotes. Ele tem comercializado os dados em pequenos lotes que contém mil registros. Por cada conjunto de dados, o hacker pede o equivalente a 100 dólares em bitcoins.

"Nós recebemos um alerta de vazamento de CNPJs e nosso laboratório começou a investigar na dark web. No decorrer do trabalho confirmamos que procedia o vazamento, com detalhes das empresas. Depois descobrimos que o mesmo hacker divulgou outro banco de dados com informações pessoais de brasileiros", afirmou Marco DeMello, CEO da PSafe.

DeMello explicou que sua equipe começou a questionar o hacker em um fórum na dark web, monitorado pela empresa. E ele resolveu mostrar que obtinha informações precisas.

"Nós fizemos várias perguntas e ele decidiu provar que os dados eram verossímeis, então passou uma base para a gente. E nós confirmamos os CPFs da equipe, de familiares, e chegamos a conclusão de que o banco de dados era verdadeiro", disse DeMello.

A empresa primeiro confirmou o vazamento de cerca de 40 milhões de CNPJs de empresas. Depois houve a confirmação de um banco de dados com 223 milhões de CPFs.

O número de CPFs hackeados é maior do que a população do Brasil, que atualmente tem 211,8 milhões de habitantes. Essa quantidade deve-se ao fato de que há registros de pessoas mortas.

O hacker admitiu ter copiado os dados ao longo dos últimos 18 meses. Nesse período, ele coletou informações que constavam associadas a CPFs que estiveram ativos entre 2008 e 2020.

Proveniência dos dados

De acordo com a PSafe, o hacker alegou ter copiado os dados de um bureau de crédito. Em um fórum na internet, há um banco de dados de brasileiros que foi colocado à venda em 11 de janeiro. Conforme a descrição no site, as informações comercializadas teriam sido roubadas da Serasa Experian. A empresa nega.

"Estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web. Conduzimos uma extensa investigação e neste momento nenhum dos dados que analisamos indicam que a Serasa seja a fonte. Muitos dos dados analisados incluem elementos que não temos em nosso sistema e os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos", afirmou a empresa, por meio de nota.

Caso fique comprovado que os dados foram roubados de uma determinada empresa, ela pode ser responsabilizada.

"A empresa poderia ser responsabilizada pelo Procon. Há também a Lei Geral de Proteção de Dados, que está em vigor mas sem multa, pois as punições estão previstas para começarem a valer somente em agosto de 2021", afirmou o consultor em Segurança da Informação da Compugraf, Alex Feitosa.

O material comercializado pelo hacker contém dados como nome completo, data de nascimento, CPF, nível de escolaridade, imposto de renda e saldo bancário. Também há informações sobre veículos, como número de chassi, placa, município, cor, marca, modelo e ano de fabricação.

Dados roubados podem ser utilizados para criminosos praticarem phishing, que é o roubo de identidade online. Ao assumirem a identidade das vítimas, os criminosos podem cometer crimes, fazer dívidas em crediário ou cartão de crédito e criar documentos falsos, explica o consultor.

Alfredo Mergulhão
Fonte: epoca.globo.com