Brasil sofreu um dos maiores ataques virtuais: Megavazamentos de dados expõem informações de 223 milhões de Brasileiros

Pacotes de dados com informações pessoais de mais de 223 milhões de brasileiros apareceram em fóruns usados por criminosos digitais. Os dados estão separados por número de CPF e também estão acompanhados de informações de veículos cadastrados no Brasil.

São dois vazamentos separados. Um deles, que contém os dados dos veículos e informações limitadas de cada número do CPF, está em livre circulação na internet e disponível para download – basta conhecer um link ativo.

O outro vazamento, muito mais abrangente, está com distribuição mais limitada. Esse pacote inclui dados de escolaridade, benefícios do INSS e programas sociais (como o Bolsa Família), renda e score de crédito (que estima se uma pessoa é um bom pagador).

Os criminosos estão tentando vender os dados nesse pacote, e a oferta não cobre a integralidade dos dados – só é possível comprar trechos.

Para comprovar a autenticidade da oferta, os criminosos publicaram arquivos de "exemplo" com mil amostras de cada tipo de informação.

O número de cadastros no pacote supera a população brasileira (estimada em 212 milhões). Isso é possível porque os dados incluem CPFs de pessoas falecidas.

Não há, por outro lado, CPFs de pessoas nascidas em 2020 e não é possível afirmar que todas as pessoas nascidas antes de 2019 foram expostas.

Um terceiro conjunto de dados que está à venda contém informações sobre empresas, incluindo das mesmas informações atreladas ao CPF.

Fonte de dados é desconhecida

Muitas ofertas de dados publicadas por criminosos indicam a fonte da informação ou, ao menos, um tipo de fonte ("uma seguradora" ou "um banco", por exemplo). Mas, neste caso, não há indicação de uma fonte específica.

Parte das informações fazem referência a empresas ou serviços, mas não é possível afirmar se esses dados realmente foram retirados das companhias mencionadas.

É possível que o pacote tenha sido consolidado a partir de diversas fontes, incluindo outros vazamentos anteriores.

Ao longo dos anos, diversas informações pessoais de brasileiros têm circulado inclusive entre empresas que, sem ter obrigação de proteger estes dados, decidiram acumulá-los.

Apenas a Lei Geral de Proteção de Dados (LGPD), que entregou em vigor em 2019, começou a responsabilizar empresas pelos dados que elas guardam de brasileiros.

Contudo, as multas previstas na lei ainda não estão sendo aplicadas, pois dependem da atuação da Agência Nacional de Proteção de Dados (ANPD), que ainda não está funcionando.

O que foi divulgado publicamente

Alguns arquivos, aparentemente ligados ao mesmo pacote de vazamento, estão sendo distribuídos abertamente na internet.

O blog conseguiu acesso a esses arquivos e verificou que, embora não seja possível afirmar que todas as informações sejam verdadeiras, muitas delas estão corretas.

Os seguintes arquivos estão em circulação:

Um arquivo de 14 GB com dados básicos referentes a 223 milhões de CPFs. As informações que constam neste arquivo são: nome, sexo e data de nascimento. As informações só incluem pessoas nascidas até 2019.

Um arquivo semelhante ao primeiro, mas com dados do CNPJ (Cadastro Nacional de Pessoas Jurídicas). Em vez do nome das pessoas está o nome da empresa e, no lugar data de nascimento, consta a data de abertura do CNPJ. Essas informações são públicas – a Receita Federal permite consultar diversos dados referentes aos números de CNPJ.

Uma tabela de 23 GB com dados de veículos. Os dados neste arquivo estão aparentemente limitados ao ano de 2007.

Uma tabela de 37 colunas com os mesmos 223 milhões de CPFs que serve de referência para saber quais dados estão disponíveis nos 37 pacotes que foram colocados à venda.

O que foi colocado à venda

O conjunto que está sendo vendido por criminosos é formado por 37 pacotes, mas nem todos os CPFs aparecem em todos eles. Ou seja, algumas informações que estão disponíveis para um CPF podem não estar disponíveis para outros.

Esses 37 arquivos incluem as seguintes informações:

Dados básicos relativos ao CPF (os mesmos já inclusos no arquivo público, como nome, data de nascimento e endereço)

Endereços

Fotos de rosto

Score de crédito, renda, cheques sem fundo e outras informações financeiras

Imposto de renda de pessoa física

Dados cadastrais de serviços de telefonia

Escolaridade

Benefícios do INSS

Dados relativos a servidores públicos

Informações do LinkedIn

Muitas das informações oferecidas não são públicas, mas algumas delas podem ser obtidas em portais do governo ou a partir de serviços privados.

Informações de servidores públicos, por exemplo, são frequentemente registradas em diários oficiais do governo e nos portais de transparência. Esses dados podem ser "raspados" para formar bancos de dados como estes que estão sendo oferecidos.

Em outras palavras, embora os dados já sejam públicos, é possível que criminosos ou empresas tenham se dado ao trabalho de copiá-los fontes oficiais e organizá-los com o intuito de facilitar operações de marketing e crédito (no caso de empresas) ou fraudes (no caso de criminosos).

Isso também vale para o LinkedIn (as informações ficam públicas nos perfis) e certas informações de crédito, pois há serviços que permitem consultar CPFs para saber se uma pessoa específica é um bom pagador. Além disso, fotos também podem ser obtidas em redes sociais.

Pessoas devem ficar atentas

Com tantos dados disponíveis para cibercriminosos, é preciso ficar atento a tentativas de fraudes com suas informações.

Não confie em e-mails ou contatos inesperados. Se uma mensagem vem com seu nome, CPF ou outros dados pessoais, isso não significa que ela é legítima.

Caso tenha dúvida sobre a legitimidade de um e-mail, procure o telefone de contato da instituição e ligue para o serviço de atendimento.

Veja o que se sabe e o que ainda não foi esclarecido sobre o megavazamento de dados de 223 milhões de brasileiros (incluindo dados de falecidos) revelado recentemente:

• Quais dados vazaram?
• Como saber se um dado meu foi vazado?
• De onde são esses dados?
• Quem vazou?
• Como se deu o vazamento?
• Por que o número de CPFs vazados é maior do que a quantidade de pessoas no país?
• Que prejuízos podem acontecer para quem tiver um dado vazado?
• O vazamento está sendo investigado? A quem cabe isso?
• Existe proteção de dados no Brasil? Que punições podem acontecer por causa deste vazamento?
• Como proteger meus dados de vazamentos?

Quais dados vazaram?

Foram dois vazamentos:

Um deles tinha 223 milhões de números de CPF, acompanhado de informações como nome, sexo e data de nascimento, além de uma tabela com dados de veículos e uma lista com CNPJs (Cadastro Nacional de Pessoas Jurídicas). Essas informações circulam na internet de forma gratuita.

O outro incluía, além dos 223 milhões de CPFs, informações sobre escolaridade, benefícios do INSS e programas sociais (como o Bolsa Família), renda, entre outras informações. Esse está sendo vendido por criminosos.

Juntos, os dois vazamentos continham:

• Dados básicos relativos ao CPF (nome, data de nascimento e endereço).
• Endereços.
• Fotos de rosto.
• Score de crédito (que diz se é bom pagador), renda, cheques sem fundo e outras informações financeiras.
• Imposto de renda de pessoa física.
• Dados cadastrais de serviços de telefonia.
• Escolaridade.
• Benefícios do INSS.
• Dados relativos a servidores públicos.
• Informações do LinkedIn.

Como saber se um dado meu foi vazado?

O número de CPFs vazados (223 milhões) supera a população brasileira (estimada em 212 milhões). Então é provável que pelo menos dados básicos de cada cidadão estejam disponíveis.

Não é possível afirmar que todas as informações sejam verdadeiras, mas muitas delas estão corretas, segundo Altieres Rohr, especialista em segurança digital que mantém um blog no G1, e que teve acesso aos arquivos que foram disponibilizados publicamente.

As pessoas não têm como saber se alguma informação específica a seu respeito consta em um dos vazamentos.

De onde são esses dados?

Ainda não se sabe de onde esses dados foram roubados. É possível que o pacote tenha sido consolidado a partir de diversas fontes, incluindo outros vazamentos anteriores.

Algumas das informações que constam no vazamento fazem referência a empresas ou serviços, mas não é possível afirmar se esses dados realmente foram retirados das companhias mencionadas.

Ao longo dos anos, diversas informações pessoais de brasileiros vazaram, partindo inclusive de órgão do governo.

Órgãos de defesa do consumidor, como o Procon-SP e a Secretaria Nacional do Consumidor (Senacon), notificaram a empresa Serasa Experian com pedidos de explicações sobre origem dos dados. A Serasa nega que seja a fonte dos dados.

Quem vazou?

Os dados foram publicados por um criminoso em um fórum on-line dedicado a comercialização de bases de dados. O mesmo indivíduo ofertou a lista de CPFs gratuitamente é o que vende as outras informações.

Como se deu o vazamento?

Como ainda não se sabe a origem exata dos dados, não há informações de como esse vazamento aconteceu.

É possível que o pacote tenha sido consolidado a partir de diversas fontes: o criminoso reuniu dados de vários vazamentos para vendê-los numa lista única.

Por que o número de CPFs vazados é maior do que a quantidade de pessoas no país?

Foram vazados dados de 223 milhões de CPFs, enquanto a população estimada do país é de 212 milhões. Isso ocorreu porque informações de pessoas que já morreram também foram expostas.

Que prejuízos podem acontecer para quem tiver um dado vazado?

Criminosos podem usar dados pessoais para aplicar golpes dos mais variados tipos.

Munidos de uma série de dados pessoais, criminosos podem tentar se passar por alguém em interações com empresas ou praticar golpes como o saque indevido do FGTS (Fundo de Garantia do Tempo de Serviço).

Uma tática comum é enviar e-mails ou mensagens falsas para vítimas, em nome de empresas como bancos e tentar obter vantagens financeiras.

É possível, por exemplo, que criminosos enviem faturas falsificadas (como telefone, internet, IPVA, IPTU, entre outras) por e-mail. A vítima, identificando uma série de dados pessoais corretos, acredita que aquele débito é real e faz o pagamento.

O megavazamento está sendo investigado? A quem cabe isso?

A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2019, definiu um órgão responsável pela investigação em caso de vazamentos: Autoridade Nacional de Proteção de Dados (ANPD).

A autoridade, porém, ainda não está funcionando de fato. O órgão está constituído, mas ainda não publicou nenhuma das regulamentações previstas em lei.

O G1 procurou a ANPD e perguntou quais medidas estão sendo tomadas, mas até a última atualização dessa reportagem não obteve respostas.

Órgãos de defesa do consumidor, como o Procon-SP e a Secretaria Nacional do Consumidor (Senacon), notificaram a empresa Serasa Experian e pediram explicações sobre origem dos dados. A Serasa nega que seja a fonte dos dados.

Existe proteção de dados no Brasil? Que punições podem acontecer por causa deste vazamento?

Existe a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2019, e tem como objetivo garantir mais segurança e transparência às informações pessoais coletadas por empresas públicas e privadas.

A lei prevê punições que vão desde advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões.

Esse dinheiro é destinado ao Fundo de Defesa de Direitos Difusos (FDD), que financia projetos que tenham como objetivo reparação de danos ao consumidor, meio ambiente, patrimônio e outros.

De qualquer forma, a agência não poderia aplicar multas antes de agosto de 2021, por decisão do Congresso.

Como proteger meus dados de vazamentos?

Neste caso específico, não havia nada que um cidadão pudesse fazer para proteger os seus dados.

A falta de qualquer regra ou limite para a guarda de dados no Brasil, aliada ao excesso de burocracia, sempre incentivou que empresas e órgãos do governo mantivessem todos os dados possíveis – inclusive os que não eram necessários.

Para realizar cadastros em muitos sites, serviços e até programas governamentais, é necessário fornecer informações que nos identifiquem.

A dica geral, no entanto, é ter cautela e cuidado ao incluir dados pessoais em páginas da internet que não são confiáveis – não é recomendável, por exemplo, fornecer seu CPF em uma página que divulga um suposto sorteio.