Esta semana, surgiu a notícia de um vazamento enorme que expôs o CPF de mais de 220 milhões de brasileiros. O caso é mais grave do que se imaginava: esse conjunto de dados pessoais, oferecido de graça em um fórum de internet, está associado a uma base ainda maior que inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, renda e muito mais. O arquivo parece estar associado à Serasa Experian, mas a empresa nega ser a fonte.
Dois vazamentos de dados
Temos aqui dois casos distintos, mas relacionados. O primeiro vazamento inclui somente nome completo, CPF, data de nascimento e gênero: ele está disponível para download gratuito em um fórum bastante conhecido por divulgar esse tipo de informação.
O arquivo de 14 GB possui dados de 223,74 milhões de CPFs distintos, e aparentemente foi compilado em agosto de 2019. Ele está disponível na internet aberta, não na dark web: o link até foi indexado pela busca do Google. O número de pessoas afetadas é maior do que a população brasileira porque a base de dados também inclui falecidos.
Por sua vez, o segundo vazamento traz informações dos mesmos 223,74 milhões de pessoas e também teria sido compilado em agosto de 2019. Ele foi divulgado pelo mesmo usuário no fórum, e inclui os CPFs na mesma ordem, como ilustra a imagem abaixo:
Neste caso, só a prévia está disponível de graça: quem quiser o pacote completo tem que gastar dinheiro. Os preços variam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade comprada. O pagamento é feito somente em bitcoin.
No total, são 37 bases que incluem todo tipo de dado pessoal, incluindo RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre muitos outros.
Vazamento veio da Serasa Experian?
O vazamento maior é intitulado “Serasa Experian”, e existem alguns indícios de que estes dados podem estar relacionados à empresa:
- uma das bases traz dados do Mosaic, serviço da Serasa Experian que classifica os consumidores em 11 grupos e 40 segmentos, a fim de fazer anúncios segmentados e prospecção de clientes;
- outras duas bases possuem informações sobre modelos de afinidade e propensão, algo que também é oferecido pela Serasa, a chance de que uma pessoa tem de comprar determinado produto ou serviço como seguro, previdência privada, cartão de crédito, jogos, viagens, artigos de luxo, entre outros;
- há ainda uma lista de scores de crédito, produto pelo qual a Serasa é mais conhecida.
E a LGPD?
A LGPD (Lei Geral de Proteção de Dados Pessoais), que está valendo desde setembro de 2020, prevê sanções que vão desde uma advertência até uma multa de 2% sobre o faturamento anual até o máximo de R$ 50 milhões.
No entanto, as punições só devem ser aplicadas a partir de agosto de 2021. Isso ficará a cargo da ANPD (Autoridade Nacional de Proteção de Dados), que ainda está definindo seus principais cargos técnicos.
O que foi exposto no vazamento de 220 milhões
Contamos com a ajuda do DataBreaches.net para descobrir os detalhes deste conjunto de dados, que está à venda na internet desde a semana passada.
Reunimos abaixo as principais informações que constam no vazamento maior:
- básico: nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe
- estado civil (casado, solteiro, divorciado, viúvo, outros)
- vínculo familiar: categoriza pessoas de acordo com vínculo de 1º grau (mãe, pai, filho, filha, irmão, irmã, cônjuge) ou 2º grau (avô, neto, tio, sobrinho, primo etc.)
- telefone: DDD, número, operadora, plano, tipo de linha (fixa, pré-paga, pós-paga), data de instalação
- endereço: logradouro, número, bairro, cidade, estado, CEP, tipo (residencial / comercial), latitude e longitude
- domicílios: CPF do chefe de família, número de pessoas, faixa de renda, endereço completo
- escolaridade: nível (analfabeto / fundamental / técnico / superior etc.)
- universitários: 1.643.105 pessoas com nome da faculdade, curso, ano de entrada e ano de conclusão
- ocupação: cargo, número CBO (Classificação Brasileira de Ocupações)
- emprego: CNPJ e razão social do empregador, número do PIS/PASEP/NIT, número do CTPS, tipo de vínculo (CLT, autônomo, servidor, aprendiz etc.), data de admissão, salário, horas de trabalho por semana
- salário: valor, tipo (mensal, quinzenal, semanal etc.), horas por semana
- renda: valor mensal (inclui salário, aluguéis, recebimento de juros etc.), classe social (baixa, média, alta), faixa de renda
- classe social (A1, A2, B1, B2, C1, C2, D, E)
- poder aquisitivo: nível (baixo, médio, alto), renda, salário
- Bolsa Família: valor, situação do benefício (liberado / bloqueado), status do benefício (ativo / inativo), número e nome dos dependentes, NIS (Número de Identificação Social)
- título de eleitor: número de inscrição, zona, seção, endereço, município, estado
- RG
- FGTS: número do PIS
- CNS (Cartão Nacional de Saúde)
- NIS (Número de Identificação Social)
- PIS/PASEP
- INSS: nome do segurado, número do benefício, data de início, espécie (aposentadoria, pensão, salário-maternidade etc.)
- IRPF (imposto de renda): nome da instituição bancária, código da agência, lote de restituição
- Receita Federal: situação cadastral (regular / suspensa / cancelada / titular falecido)
- score de crédito: atividade de crédito, score de risco, nível de risco (baixo / médio / alto)
- devedores: nome, tipo do devedor (principal, corresponsável), situação (ativa, em cobrança, ajuizada), tipo de dívida (multa, imposto de renda, PIS etc.), valor, foi parar na Justiça? (sim / não)
- cheques sem fundos: código e agência do banco, motivo (sem fundos / conta encerrada)
- Mosaic: grupo e subgrupo de segmentação
- afinidade: nível de precisão, percentil
- modelo analítico: prevê chance de consumidor ter afinidade para comprar um produto ou serviço
- fotos de rostos: 1.176.157 imagens JPEG com datas entre 2012 e 2020; o nome de arquivo é o CPF da pessoa correspondente
- LinkedIn: 5.051.553 perfis da rede social com número ID e URL de acesso
- empresarial: nome do sócio de uma empresa, participação (ações e %), razão social e nome fantasia da empresa, CNPJ, data de entrada na sociedade
- servidores públicos: descrição do cargo, lotação, exercício, renda bruta, estado, vínculo, afastamento (sim / não)
- conselhos: 2.260.960 pessoas que prestam consultoria no âmbito público ou privado, incluindo situação, especialidade e código de ocupação
- óbitos: data de falecimento, idade, data da certidão de óbito, nome e endereço do cartório
O que fazer?
Conversamos com dois especialistas em direito digital, os advogados Luiz Augusto D’Urso e Adriano Mendes, que forneceram orientações sobre como lidar com a situação e evitar prejuízos em decorrência da exposição de dados.
Brasileiros deverão monitorar seus dados
Como primeira medida, os advogados alertam para a necessidade de monitoramento de plataformas que podem ser alvo de criminosos, como aplicativos de banco, por exemplo.
A gente não sabe desde quando esses dados estão vazando – descobrimos isso agora, mas esse vazamento pode ser do mês passado, do ano passado ou até uma compilação de várias questões anteriores. É importante que as pessoas chequem as transações em seus cartões de crédito ou fiquem atentas a alguma movimentação diferente, e principalmente, que elas troquem as suas senhas.
Adriano Mendes, advogado especialista em direito digital e proteção de dados
Mesmo que dados bancários não tenham sido vazados diretamente, informações como nome, CPF, telefone e e-mail são utilizadas por pessoas mal intencionadas para conseguir acesso a diversos sistemas, que uma vez abertos, podem ser utilizados para a troca de senha ou do e-mail de recuperação de conta.
Além disso, é importante redobrar o cuidado ao fornecer informações sensíveis ou clicar em links de terceiros em mensageiros, e-mail ou redes sociais, ainda que o conteúdo seja enviado por pessoas supostamente conhecidas.
Principal autoridade nacional ainda não pode punir responsáveis
Mendes afirma que o caso é de responsabilidade de órgãos como a Autoridade Nacional de Proteção de Dados (ANPD), o Procon, a Senacon (Secretaria Nacional do Consumidor) e o Ministério Público. Essas instituições têm a autonomia necessária para investigar e encontrar a empresa que originou o vazamento.
D’Urso, que é Presidente da Comissão Nacional de Cibercrimes da ABRACRIM (Associação Brasileira dos Advogados Criminalistas), ressalta, porém, que “a ANPD não está trabalhando a todo vapor”.
A Lei Geral de Proteção de Dados entrou em vigor no ano passado, mas as punições, que ficam a cargo da ANPD, foram adiadas para agosto de 2021. Em relação a esse caso e a outros gravíssimos, espera-se que a ANPD, mesmo sem poder punir as empresas suspeitas pelo vazamento, ao menos as notifique e solicite informações para que a investigação se inicie, gerando insumos para o Ministério Público e o Procon.
Como pessoa física, posso entrar com algum tipo de ação?
Em relação a pessoas físicas, Mendes explica que ainda não há procedimentos específicos a serem realizados em casos como esse, a menos que algum dano concreto seja comprovado.
Se alguém for vítima, e tiver algum tipo de problema por causa disso – por exemplo: alguém que tenha o seu CPF utilizado para abrir uma conta corrente, uma linha de crédito ou transação financeira indevida –, com a comprovação desse prejuízo, é possível entrar com uma ação pedindo indenização por danos morais.
Segundo o especialista, mesmo que uma empresa seja identificada como a culpada pelo vazamento, a multa deverá ser aplicada por uma das autoridades citadas acima.
Não cabe a todo mundo que tem seu nome envolvido entrar com uma ação individual, porque, em tese, a LGPD não prevê que a multa seja revertida para as pessoas envolvidas. Essa multa vai para um fundo coletivo do Procon para – aí, sim – ser revertida em prol da sociedade.
Vale ressaltar que apesar de alguns indícios apontarem para a Serasa Experian como sendo a responsável pela exposição dos dados, ainda não há informações oficiais que comprovem a culpa da empresa neste caso.
A Serasa afirmou que está ciente das alegações de terceiros sobre a exposição de dados na web: “conduzimos uma investigação e, neste momento, não vemos nada que indique que a Serasa seja a fonte”, concluiu.
Fonte: Tecnoblog