Vazamento de dados: veja tudo o que já sabemos sobre o caso
Tire suas dúvidas sobre o que aconteceu, as possíveis consequências e quem investiga o vazamento
Atualizado em 10 de fevereiro, às 17h54
Um megazamento de dados de brasileiros veio à tona no mês passado. Revelado pelo dfndr lab, laboratório especializado em segurança digital da startup PSafe, o vazamento lista 223 milhões de CPFs e 40 milhões de CNPJs - segundo especialistas ouvidos pelo Estadão, esse pode ser o maior roubo de informações da história do País.
A origem do vazamento ainda é desconhecida - inicialmente, o Serasa era apontado como a fonte dos dados. A empresa, porém, tem repetido que investigou o caso, concluindo que as informações não têm origem na sua base de dados. Dada a proporção do caso, a Secretaria Nacional do Consumidor (Senacon), o Procon-SP e a Autoridade Nacional de Proteção aos Dados (ANPD) estão analisando o episódio.
Compilamos todas as informações sobre o caso, desde a divulgação, as consequências, os envolvidos e o andamento da investigação. Confira abaixo.
Quais dados exatamente foram vazados?
Vazaram 223 milhões de CPFs (número que inclui pessoas falecidas), 40 milhões de CNPJs e 104 milhões de registros de veículos. Há também outras informações detalhadas de cidadãos brasileiros como nome, endereço, renda, imposto de renda, fotos de rosto, participantes do Bolsa Família, scores de crédito, entre outras.
Ao todo, foram 37 categorias divulgadas por pessoa, como data de nascimento, nome completo e renda. A empresa de segurança Syhunt, que analisou alguns dos arquivos disponibilizados pelo hacker em fóruns na internet, estima que o hacker tenha quase 1 TB de informações. Do total, 16 GB são de fotos de rosto, ou seja, aproximadamente 1,1 milhão de imagens.
Entre as vítimas, o Estadão revelou que há nomes como o presidente da República, Jair Bolsonaro (sem partido), o ex-presidente da Câmara, Rodrigo Maia (DEM-RJ), o ex-presidente do Senado, Davi Alcolumbre (DEM-AP), e os 11 ministros do Supremo Tribunal Federal (STF) - as informações aparecem numa espécie de "catálogo" de arquivos que o hacker diz ter colocado à venda. O presidente do STF, Luiz Fux, considerou o caso como gravíssimo e pediu investigação.
Quais as consequências desse megavazamento?
De acordo com a PSafe, é possível que a exposição seja usada para os chamados golpes de phishing, no qual criminosos se passam por pessoas e instituições para roubar senhas e dados a partir de mensagens e links falsos. Logo após o vazamento, além das informações à venda, foram disponibilizado dados de 39.645 brasileiros e 22.983 empresas nacionais gratuitamente na internet. A base de dados "original" é vendida na internet por pacotes a partir de US$ 500.
Considerado por especialistas o vazamento mais lesivo no País, deve-se atentar aos possíveis riscos. Os dados disponibilizados permitem fraudes na rede bancária, entre outros crimes considerados como "roubo de identidade". Para muitos especialistas, os efeitos do vazamento serão sentidos por muitos anos.
Qual a origem dos dados?
Ainda não se sabe a origem do vazamento. Inicialmente, o Serasa era apontado como a fonte dos dados — além de o hacker afirmar ter obtido as informações junto ao birô de crédito, os pacotes de dados trazem referências à empresa. Uma delas é uma pasta que se chama Mosaic, um serviço oferecido pelo Serasa. A outra são arquivos no formato PDF que trazem manuais de produtos da empresa, como o score de crédito. O Serasa tem repetido que investigou o caso, concluindo que as informações não têm origem na sua base de dados. Alguns especialistas acreditam que as fontes tenham sido diversas, embora não seja possível afirmar quais são elas.
Quem investiga o caso?
A Autoridade Nacional de Proteção de Dados (ANPD), órgão que executa a Lei Geral de Proteção de Dados (LGPD), afirma que as informações estão sendo tecnicamente apuradas junto à demais instituições de investigação para sugerir medidas cabíveis, previstas na LGPD. A autoridade se manifestou oito dias após a divulgação do caso. Apesar de a Lei já estar em vigor, a ANPD só pode aplicar multas a partir de agosto. Por isso, ela atua apenas de maneira cooperativa e técnica junto a outras instituições de proteção e defesa do consumidor.
A Senacon deu um prazo de 15 dias, desde 25 de janeiro, para o Serasa responder questionamentos sobre o vazamento e apontar as medidas de segurança de privacidade tomadas pela empresa. Já o Procon-SP se posicionou alertando que, se culpada, as penalidades podem chegar a R$ 10 milhões, como consta no Código de Defesa do Consumidor.
O Instituto de Defesa do Consumidor (Idec) também revelou com exclusividade ao Estadão na sexta-feira, 5, que encaminhou uma representação a diferentes autoridades federais cobrando "providências firmes e imediatas" em relação ao megavazamento. Uma das demandas da entidade foi direcionada ao Congresso Nacional: o Idec pediu a criação de uma Comissão Parlamentar Mista de Inquérito (CPMI) para auxiliar e acompanhar as investigações.
Os dados ainda estão disponíveis?
Sim. Publicações que tentavam vender os dados do megavazamento de 223 milhões de CPFs, 40 milhões de CNPJ e 103 milhões de registros de veículos foram excluídas após quase um mês dias disponíveis na internet, mas as venda continuam. O motivo das remoções é incerto, embora todos os links desativados tenham sido citados pelo ministro Alexandre de Moraes após o Estadão mostrar que informações de autoridades também estavam à venda.
Foram removidos de um fórum online duas postagens anunciando a venda das informações — um terceiro link (este para baixar diretamente bases de dados que serviam de 'catálogo' e 'amostra grátis') citado por Moraes já estava fora do ar desde o fim de janeiro. Apesar das remoções, o hacker já havia espalhado os dados em outros posts no fórum — é possível encontrar publicações apenas para os dados de pessoa física, ou apenas para pessoa jurídica. Todos esses posts foram feitos ainda em janeiro e continuam ativos.
Estão circulando na internet sites para checar se meus dados pessoais vazaram. É seguro usar essas plataformas? Como saber se fui afetado?
Não é seguro. De acordo com especialistas em segurança digital, consultar seus dados em sites de checagem criados por entidades ou pessoas físicas podem apresentar vulnerabilidade. "Esse site pode ser invadido e alguém pode ganhar acesso de forma gratuita, sem precisar comprar as informações", afirma Fabio Assolini, analista sênior de segurança da Kaspersky.
Agora que vazou, quais cuidados devo tomar?
É importante monitorar as transações financeiras e, caso haja uma movimentação suspeita, realizar um boletim de ocorrência. É importante citar o megavazamento, ocorrido no dia 19 de janeiro.
Vazamentos desse tipo já aconteceram antes?
Nos Estados Unidos, o birô de crédito americano Equifax viu os dados de 145 milhões de pessoas vazarem em 2017. O caso rendeu um acordo com a Federal Trade Comission (FTC), agência norte-americana responsável pela aplicação do direito do consumidor em caso de vazamento de dados, de US$ 650 milhões. A Equifax, que permitia a consulta gratuita do score de crédito uma vez por ano, passou a ampliar o número. Mais recentemente, um caso brasileiro chamou a atenção: um vazamento de senha do Ministério da Saúde expôs dados de 16 milhões de pacientes de covid - os brasileiros ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês. No ano passado, houve também um vazamento de dados de servidores públicos do Tribunal Superior Eleitoral (TSE).
O vazamento dos dados de celulares tem relação com esse hacker?
Não. O vazamento de dados telefônicos divulgados na quarta-feira, 10, pela empresa de cibersegurança PSafe não tem relação com a venda dos mais de 220 milhões de CPFs. Neste novo vazamento, o foco dos dados foram número de celular, valores de contas telefônicas e quantidade de minutos utilizadas em ligações, apesar de incluir alguns dados pessoais. Também foi identificado que dados do presidente Jair Bolsonaro, da apresentadora Fátima Bernardes e do jornalista William Bonner estariam disponíveis para venda.
A PSafe acredita que, neste caso, o hacker não seja brasileiro, e que os dados estejam sendo vendidos por cerca de US$ 1, mas com a possibilidade de preços ainda mais baixos se comprados em grande quantidade.