Depois de megavazamento de dados, usuários ficam de mãos atadas
Informações pessoais expostas podem permitir que criminosos façam compras em nome das vítimas e até vendam patrimônios, como imóveis e carros
O recente vazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos entre 2008 e 2020, incluindo de pessoas já falecidas, dá motivo para que os brasileiros se preocupem — e com razão. Os dados, que tratam de informações detalhadas como documentos pessoais, conta bancária, escolaridade, título de eleitor, Imposto de Renda e até biometria facial, podem ser usados para crimes diversos: de compras com cartão de crédito a até formação de dívidas e venda de patrimônio com o nome das vítimas. Segundo especialistas ouvidos pelo Estadão, esse pode ser o maior roubo de informações da história do País - o mais preocupante: pouco pode ser feito pelos cidadãos.
Marco DeMello, presidente executivo da PSafe, empresa que primeiro reportou o caso, diz que os usuários devem ficar atentos nos próximos dias para quaisquer movimentações financeiras suspeitas, como compras em cartões de crédito e dívidas: "Os criminosos que compram esses dados podem assumir a identidade dessas vítimas e criar dívidas e baixar escrituras em nome delas. Existem vários crimes que podem ser cometidos com essa gama de dados tão completa."
Jéferson Campos Nobre, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS), concorda que há pouco o que fazer até que alguma movimentação financeira suspeita seja feita. Caso algo anormal aconteça, o ideal é formalizar um boletim de ocorrência, citando que ocorreu o vazamento de dados em 19 de janeiro.
Nobre cita que o phishing, prática de roubo na internet que usa uma página com formulário falso para coletar informações de um usuário desavisado, pode se tornar mais refinado, detalhado e customizado ao apresentar informações pessoais verdadeiras que parecem de uma empresa real. Por exemplo, um boleto falso, que antes apresentava um único número do CPF errado ou endereço de cobrança desatualizado, pode trazer mais detalhes que convençam o usuário de que aquele documento forjado é real.
"Além disso, esses criminosos podem usar a base de dados para identificar alvos, como políticos e pessoas que tenham posição de influência em empresas, e usar isso para extorquir e incriminar pessoas", conta Nobre. "Isso gera um potencial de segurança muito elevado."
Alexandre Bonatti, diretor de engenharia da empresa especializada em cibersegurança Fortinet, aponta que as possibilidades de fraude são amplas. "O grande risco de um vazamento de dados são as fraudes que podem ser cometidas com as informações disponíveis", diz. "Nós não sabemos o que os atacantes vão fazer com os dados vazados."
Como evitar
Para o usuário, não há como saber se os dados fazem parte do pacote vazado. Não há aplicativos ou serviços que prestam esse tipo de ajuda no momento. Porém, para DeMello, da PSafe, dada a magnitude do vazamento de dados, é difícil que algum brasileiro não tenha sido afetado pelo incidente. "A essa altura, todos os CPFs brasileiros estão nessa base de dados roubada. Estão lá meus familiares, meus sócios, minha equipe e qualquer coisa que eu pesquiso nos extratos. É assustador", diz.
Os especialistas dizem que o que pode ser feito agora é evitar novos vazamentos no futuro - e atenção para não virar alvo dos dados já vazados. Eles afirmam que, quando se trata de ataques cibernéticos, a principal medida é fortalecer os sistemas de segurança e ter treinamento para diferenciar o que é fraude do que é verdadeiro.
"A gente depende muito da conscientização dos usuários", aponta Nobre. Ele nota que são úteis clientes de e-mail que automaticamente filtrem mensagens de spam, mas é preciso que o indivíduo fique atento a mensagens de terceiros se passando por empresas no WhatsApp ou outras redes sociais, onde a maior parte dessas práticas acontecem hoje em dia. "É a ideia de segurança centrada nas pessoas, na qual o usuário participa dos processos de proteção."
Essa estratégia de usuários bem treinados para usar a web vale principalmente para empresas. Qualquer ataque bem-sucedido contra um trabalhador pode ser a porta de entrada para que o invasor tenha acesso a documentos de todos os clientes da companhia, por exemplo.
"Precisa ter um sistema de defesa que proporcione proteção em dispositivos empresariais contra esse tipo de ataque de vazamento de credenciais. Ter esse guarda-chuva em todas as máquinas, roteadores e estrutura de rede protegidos por um sistema em nuvem é o mínimo que se faz hoje em dia", explica DeMello, da PSafe.
Ele frisa, no entanto, que usar programas de antivírus em celulares e em computadores é medida ultrapassada de proteção, já que os ataques ocorrem hoje com o auxílio de inteligência artificial. "Se não houver malha de proteção proativa, a consequência é inevitável e aí não é uma questão de se os dados vão vazar, mas sim de quando", afirma.
O caso
O vazamento foi descoberto pelo sistema de segurança da startup brasileira PSafe na terça-feira 19 de janeiro. A empresa diz acreditar que, pela categoria de informação disponível, a base de dados vem do birô de crédito brasileiro Serasa Experian - o Estadão teve acesso aos dados e encontrou informações que ligam o vazamento à empresa. Até o momento, ela nega ter sido invadida e investiga o caso.
Em nota, a Serasa Experian afirma: "Com base em nossa análise detalhada até este ponto, concluímos que o Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos. Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos."
A identidade do criminoso é desconhecida. Segundo a PSafe, que diz ter entrado em contato com o hacker para atestar a qualidade das informações e recebeu uma amostra mais enxuta do material completo, os dados estão à venda na deep web ("internet escura", em tradução livre, local em que indexadores como Google e Bing não registram os materiais publicados) por 100 dólares por cada mil registros individuais. A reportagem do Estadão, porém, encontrou usuários tentando vender as informações em fóruns da World Wide Web (WWW, a parte indexável da internet).