jusbrasil.com.br
24 de Setembro de 2021

Vazamento expôs 220 milhões de brasileiros, incluindo de pessoas falecidas.

Vazamento inclui CPF, foto de rosto, endereço, telefone, e-mail, score de crédito, salário, até dados de pessoas que faleceram

Jorge Alexandre Fagundes, Advogado
há 8 meses

Dois vazamentos de dados

Temos aqui dois casos distintos, mas relacionados. O primeiro vazamento inclui somente nome completo, CPF, data de nascimento e gênero: ele está disponível para download gratuito em um fórum bastante conhecido por divulgar esse tipo de informação.

O arquivo de 14 GB possui dados de 223,74 milhões de CPFs distintos, e aparentemente foi compilado em agosto de 2019. Ele está disponível na internet aberta, não na dark web: o link até foi indexado pela busca do Google. O número de pessoas afetadas é maior do que a população brasileira porque a base de dados também inclui falecidos.

Por sua vez, o segundo vazamento traz informações dos mesmos 223,74 milhões de pessoas e também teria sido compilado em agosto de 2019. Ele foi divulgado pelo mesmo usuário no fórum, e inclui os CPFs na mesma ordem.

Neste caso, só a prévia está disponível de graça: quem quiser o pacote completo tem que gastar dinheiro. Os preços variam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade comprada. O pagamento é feito somente em bitcoin.

No total, são 37 bases que incluem todo tipo de dado pessoal, incluindo RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre muitos outros.

Vazamento veio da Serasa Experian?

O vazamento maior é intitulado “Serasa Experian”, e existem alguns indícios de que estes dados podem estar relacionados à empresa:

  • uma das bases traz dados do Mosaic, serviço da Serasa Experian que classifica os consumidores em 11 grupos e 40 segmentos, a fim de fazer anúncios segmentados e prospecção de clientes;
  • outras duas bases possuem informações sobre modelos de afinidade e propensão, algo que também é oferecido pela Serasa, a chance de que uma pessoa tem de comprar determinado produto ou serviço como seguro, previdência privada, cartão de crédito, jogos, viagens, artigos de luxo, entre outros;
  • há ainda uma lista de scores de crédito, produto pelo qual a Serasa é mais conhecida.

Em comunicado, a Serasa Experian diz: “estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web; conduzimos uma investigação e neste momento não vemos nada que indique que a Serasa seja a fonte”.

E a LGPD?

A LGPD (Lei Geral de Proteção de Dados Pessoais), que está valendo desde setembro de 2020, prevê sanções que vão desde uma advertência até uma multa de 2% sobre o faturamento anual até o máximo de R$ 50 milhões.

No entanto, as punições só devem ser aplicadas a partir de agosto de 2021. Isso ficará a cargo da ANPD (Autoridade Nacional de Proteção de Dados), que ainda está definindo seus principais cargos técnicos.

O que já possível desde setembro de 2020 são as ações de responsabilidade civil por parte do cidadão que tenha seus dados violados e atuações de órgãos como o Procon e o Ministério Público.

Responsável por vazamento em massa de dados pode não ser brasileiro

O dfndr lab, laboratório de cibersegurança da PSafe, reportou um vazamento de dados em massa que pode ter tornado vulneráveis as informações de mais de 220 milhões de pessoas. O banco de dados vazado reúne nome completo, data de nascimento e CPF de potencialmente quase todos brasileiros, incluindo até grandes autoridades do país.

Além dos dados de pessoas físicas, também foram expostas informações sobre mais de 104 milhões de veículos, como número de chassi, placa, município, cor, marca, modelo, ano de fabricação, cilindradas e até o tipo de combustível utilizado. E informações de 40 milhões de empresas, contendo CNPJ, razão social, nome fantasia e data de fundação.

Desde então, a empresa segue investigando a fonte de onde teriam partido tais informações. “Os relatos que temos são do criminoso no próprio fórum da dark web utilizado para comercializar este tipo de vazamento. Já confirmamos que algumas de suas alegações são verídicas. Ele não é brasileiro e está operando esta ação de fora do Brasil”, disse a companhia, em comunicado.

O mais comum é que os dados sejam utilizados para golpes de phishing. Uma vez que o cibercriminoso tem o CPF e outros dados reais das pessoas, é fácil se passar por um serviço legítimo e utilizar engenharia social para obter dados mais críticos da vítima, que poderiam ser utilizados para pedir empréstimos, senha de banco e contratações de serviços por exemplo, e que, devido ao alto valor dessas informações para o mercado, os dados têm sido comercializados ilegalmente em fóruns da dark web.

Nós, enquanto sociedade, ainda estamos em um momento de aprendizagem sobre este assunto. Temos que introjetar, de forma comportamental, o direito à privacidade e isso diz respeito a qualquer dado pessoal. Quando ocorre um vazamento de informações de uma pessoa sem que esta tenha conhecimento do fato, eles são usados contra ela própria, gerando danos à sua privacidade. A lei existe, mas até que ponto conseguimos mensurar esses danos e traduzir eles em indenização?.

Esta ainda é uma discussão que está sendo amadurecida tanto nas empresas quanto no próprio judiciário, que tem valorizado este direito por meio de multas, assim como gerado debates.

fonte: https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-de-223-milhoes-de-bra...

Jorge Alexandre Fagundes

Advogado e empreendedor

https://securitylgpd.com/

https://linktr.ee/JorgeAlexandreFagundes

#lgpd

0 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)