[URGENTE] Mega vazamento expõe dados de 223 milhões de brasileiros: saiba como se proteger

Tempo de leitura: 8 minutos

Brasil, janeiro de 2021: Entra para a história um dos maiores vazamentos de dados da história do país que já recebeu codinome de BLB2020 (Big Leak do Brasil 2020). Em meados de janeiro foi descoberto o vazamento tornou públicas informações pessoais sensíveis de mais de 200 milhões de brasileiros e pode vir a se tornar uma das provas de fogo da recentemente sancionada LGPD.  Continue a leitura e confira mais sobre o #BLB2020 e qual a relação que você pode ter com o caso:

O que aconteceu?

No dia 19/01/2021 foi identificado pelo dfndr lab, pertencente à empresa brasileira de cibersegurança PSafe, um vazamento de dados que expôs o CPF e outras informações de mais de 220 milhões de cidadãos brasileiros. Bem como informações de 40 milhões de CNPJs brasileiros e informações de 104 milhões de veículos no país. 

As informações são fruto de dois vazamentos interligados que foram compilados em agosto de 2019 e estão disponíveis em um fórum da dark web. O primeiro vazamento é um arquivo de 14 GB contendo dados como data de nascimento e gênero de 223,74 milhões de CPFs e foi disponibilizado gratuitamente por um cibercriminoso em um fórum online. O segundo vazamento traz mais informações sobre os mesmos CPFs do primeiro vazamento, porém com mais informações sensíveis tais como RG, estado civil, endereço completo, salário, renda, INSS e outras informações. 

Além de dados de CPFs, foram vazados dados de 40 milhões de CNPJs, incluindo informações como razão social, nome fantasia e data de fundação. Bem como informações de 104 milhões de automóveis, incluindo o número de chassi, placa, município, cor, marca, modelo, ano de fabricação, cilindradas e tipo de combustível utilizado pelo automóvel.

A respeito das informações sobre os CPFs, provindas do segundo vazamento estão à venda em 37 pacotes diferentes que custam de US$ 0,075 a US$ 1 por CPF com o pagamento sendo feito somente em bitcoin.

Foram vazados, segundo o G1, os seguintes dados:

  • Dados básicos relativos ao CPF (os mesmos já inclusos no arquivo público, como nome, data de nascimento e endereço)
  • Endereços
  • Fotos de rosto
  • Score de crédito, renda, cheques sem fundo e outras informações financeiras
  • Imposto de renda de pessoa física
  • Dados cadastrais de serviços de telefonia
  • Escolaridade
  • Benefícios do INSS
  • Dados relativos a servidores públicos
  • Informações do LinkedIn

Quem é o responsável?

De acordo com a PSafe, os dados foram publicados por um hacker em um fórum da internet através do qual disponibilizava as informações gratuitas (mais simples) como prova das informações mais completas, das quais se realizava a venda.

Segundo o Tecnoblog, o vazamento maior estava intitulado “Serasa Experian”, apesar de não confirmada como a fonte do vazamento, apresenta informações como dados do Mosaic e uma lista de scores de crédito. 

Sobre a fonte, em nota à imprensa geral, o Serasa declara que não está ligado ao grande vazamento de dados: “Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos”.

Notificações de órgãos públicos

A ANPD (Autoridade Nacional de Proteção de Dados) manifestou-se no dia 27/01/2021 informando que está apurando informações sobre o vazamento de dados e trabalha em cooperação com órgãos investigativos para descobrir a origem do vazamento de dados, sua extensão e consequências. A ANPD também será a responsável por sugerir medidas cabíveis e previstas na LGPD para responsabilizar e punir os envolvidos no vazamento de dados. 

Além da ANPD, a Secretaria Nacional do Consumidor (Senacon) notificou a Serasa no dia 25/01/2021 dando um prazo de 15 dias para explicações sobre a origem dos dados. O Procon-SP também notificou a Serasa no dia 28/01/2021 pedindo mais explicações sobre o vazamento de dados.

No mesmo dia (28) a Ordem dos Advogados do Brasil (OAB) pediu através de um ofício que a ANPD investigue o mega vazamento de dados. Já no dia 04/02/2021 a Polícia Federal abriu um inquérito para investigar o vazamento de dados e descobrir quem são os autores do mesmo.

Vazamento de mais de 100 milhões de contas de celular

A PSafe, através do dfndr lab, anunciou no dia 10/02/2021 que mais de 100 milhões de dados de contas de celular foram vazados na dark web. O vazamento foi descoberto no dia 03/02/2021.

Segundo notícia do NeoFeed, dentre as informações vazadas estão o número de celular, dados pessoais do dono do celular, tempo de duração das ligações e mais. Incluindo informações de personalidades como o presidente Jair Bolsonaro e o apresentador William Bonner. 

O CEO e fundador da PSafe, Marco DeMello, anunciou ao NeoFeed que enviará um documento acerca da investigação para a ANPD. Segundo o próprio criminoso que está vendendo as informações na dark web, elas são originadas das bases de dados da Vivo e da Claro. 

A Vivo enviou uma nota ao NeoFeed esclarecendo que: “A Vivo reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade.”

A Claro também se posicionou em nota ao NeoFeed: “Sobre o caso citado, a Claro informa que não identificou vazamento de dados. E, segundo informou a reportagem, a empresa que localizou a base não encontrou evidências que comprovem a alegação dos criminosos. Além disso, como prática de governança, uma investigação também será feita pela operadora. A Claro investe fortemente em políticas e procedimentos de segurança e mantém monitoramento constante, adotando medidas, de acordo com melhores práticas, para identificar fraudes e proteger seus clientes.”

Segundo a PSafe, muitas das informações vazadas nesse caso mais recente batem com informações do BLB2020.

Dicas de segurança

Esse vazamento de dados é um prato cheio para criminosos que podem se utilizar dos dados para aplicar os mais diferentes tipos de golpe.

Por isso, recomendamos a utilização de um email com excelente filtro de spam, tal como os de soluções Gmail e Microsoft, para evitar cair em golpes de phishing. Também atentamos para que não compartilhe informações pessoais através de emails, SMS e redes sociais, pois podem ser tentativas de golpes de engenharia social para clonagem de contas ou roubo de credenciais bancárias.

Também recomendamos atenção ao utilizar sites que solicitam o CPF e a data de nascimento e isso pode ser utilizado como forma de validação de dados por pessoas mal intencionadas – afinal, sites podem facilmente ser hackeados, como o caso do site “Fui Vazado” que recentemente foi derrubado pelo STJ – embora, segundo reportagem do Tilt: “Não está claro que o site ter acesso aos dados completos das pessoas afetadas ou apenas consegue checar se elas foram atingidas.”
De encontro ao que seguidamente pautamos por aqui na Introduce acompanhe uma entrevista ao Rádio Jornal Pernambuco, do advogado Marcílio Braz Junior dá outras dicas de segurança:

  • Troque suas senhas;
  • Se alguém te pedir um dinheiro emprestado pelo WhatsApp, ligue para a pessoa antes;
  • Habilite a verificação em duas etapas nos aplicativos (WhatsApp, Facebook, etc);
  • Evite abrir links e anexos de remetentes desconhecidos;
  • Redobre a atenção para as mensagens recebidas.

Dicas da Introduce:

  • Se estiver dúvida de que algo possa ser suspeito/malicioso peça ajuda de profissionais
  • Sempre questione antes de compartilhar seus dados pessoais, tais como: CPF, data de aniversário, localização, preferências, gênero, etc.

Para mais dicas de segurança, acompanhe os vídeos que nossos colaboradores prepararam para você

Confira dicas de privacidade de dados e Segurança digital para Usuários

Segurança para Empresas

Em dúvida sobre como incrementar camadas de segurança para seu negócio e proteger a infraestrutura de tecnologia da informação e usuários? Saiba que temos equipe de especialistas para atender suas demandas e ir fundo nas soluções que possam evitar Data Leak, Data Breach, Ransomware, Roubo e Engenharia Social.

A regra de ouro é questionar sobre as solicitações de uso de seus dados.
Veja nesse conteúdo da InternetLab uma simulação sobre a importância que o detentor dos dados as vezes não se da por conta em estar cedendo. Dica importante: questione e na dúvida contate especialistas de segurança.

Dica importante: questione sobre as solicitações de uso de seus dados e, na dúvida, contate especialistas de segurança.

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.