O hacker que vazou informações de mais de 220 milhões de brasileiros em janeiro pode lucrar cerca de US$ 15 milhões caso consiga vender todos os dados disponibilizados, estimaram especialistas. O montante equivale a R$ 80,8 milhões.
A Folha teve acesso à publicação do criminoso em um fórum de vendas de informações.
Em inglês, o hacker faz a propaganda do que possui: dá a origem dos dados (Brasil), afirma que as informações disponíveis são pessoais e comerciais e afirma que a compra mínima é de US$ 500 (R$ 2.693,75).
Segundo uma tabela de preços publicada pelo criminoso, um lote com dados de até 100 pessoas físicas ou jurídicas custaria cerca de US$ 50 (R$ 269,40), por exemplo.
O megavazamento de dados foi descoberto em 20 de janeiro pelo dfndr lab, laboratório de cibersegurança da Psafe. O número é maior do que o total de habitantes do Brasil, de aproximadamente 212 milhões -o que indica que o vazamento pode incluir informações de pessoas que já morreram e CPFs inativos.
Segundo a dfndr lab, os pesquisadores seguem investigando como essas informações teriam sido obtidas. Ainda não há detalhes ou informações sobre os responsáveis.
Um levantamento mais assertivo feito pela Syhunt apontou que os dados de cerca de 223 milhões de brasileiros foram expostos, além de informações de 40 milhões de empresas e 104 milhões de veículos.
São cerca de 37 grupos de informações diferentes relacionadas às pessoas físicas, que podem englobar: nome completo, CPF, gênero, data de aniversário, estado civil, vínculos (familiares, por exemplo), e-mail, telefone, endereço, ocupação, título eleitoral, RG, escolaridade, poder aquisitivo, fotos de rosto, entre outros. Para pessoas jurídicas, são 17 grupos de informações que podem incluir CNPJ, nome da empresa, tamanho, número de funcionários, e-mail, telefone, endereço, entre outros.
Outro levantamento também feito pela empresa de segurança Syhunt apontou que os dados de autoridades do país estão entre as informações que o hacker tenta vender na internet. Estariam expostas informações do presidente Jair Bolsonaro (sem partido), do ex-presidente da Câmara Rodrigo Maia e do presidente do STF (Supremo Tribunal Federal), Luiz Fux, entre outros nomes.
Segundo executivos do mercado, as opiniões entre pesquisadores de segurança estão divididas. Há aqueles que acreditam que o vazamento de dados foi um trabalho interno realizado deliberada e maliciosamente por um funcionário.
Outros acreditam que houve uma compilação de vários vazamentos que aconteceram nos últimos anos em um único arquivo. Também é possível que um vazamento mais recente tenha acontecido e sido complementado com informações que já estavam sendo vendidas no mercado.
Segundo Felipe Dagaron, fundador da Syhunt, apesar de o hacker ter referido o arquivo disponível como sendo de um banco de dados do Serasa Experian, não há provas que incriminem a companhia.
Segundo relatório da Syhunt, o criminoso também incluiu pelo menos quatro documentos PDF produzidos pelo Serasa junto com seus arquivos de amostra.
Na tabela de preços, o criminoso fixou um preço diferente para informações que ele afirma serem do Mosaic (serviço oferecido pelo birô de crédito): um lote com dados de até 100 pessoas físicas ou jurídicas valeria entre US$ 75 (R$ 404,10) e US$ 100 (R$ 538,80).
“É preciso ter cuidado com essa afirmação, pois não há nenhum indicativo de que de fato a origem de dados seja o Serasa. É preciso de mais dados e de uma investigação mais aprofundada”, disse Dagaron.
Em nota, o birô de crédito afirmou que fez uma investigação detalhada em sua base de dados e negou ser a fonte do vazamento.
“Não vemos evidências de que nossos sistemas tenham sido comprometidos. Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas. Concluímos que esta é uma alegação infundada”, informou o birô de crédito. A companhia afirmou que continua monitorando a situação e segue em contato com os reguladores.
O criminoso afirma, ainda, aceitar apenas bitcoins como pagamento.
“Além da maior dificuldade de rastreamento, o fato de a criptomoeda ser mais conhecida também facilita as transações”, afirmou o consultor da Sunlit Technologies, Mario Fialho.
As informações, segundo os especialistas, circulam na dark web -espaço no qual o rastreamento dos computadores usados para acessar os sites é praticamente impossível.
Segundo o advogado e diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro, Ronaldo Lemos, um incidente desta magnitude ocorre sempre por uma sequência de erros.
“Dentre eles promover a centralização de base de dados. Quanto mais centralizada uma base de dados, maior o incentivo para que seja atacada e vazada. É uma questão econômica, o incentivo para obter aqueles dados vai se tornando cada vez maior”, afirmou.
Lemos disse ainda que esse vazamento de dados é o batismo de fogo da ANPD (Autoridade Nacional de Proteção de Dados). A função da autoridade, neste caso, é completa: coordenar a investigação, analisar a questão, instruir o processo e aplicar penas. “A LGPD deu funções muito amplas para a ANPD”, disse o especialista.
Na semana passada a OAB (Ordem dos Advogados do Brasil) Nacional enviou um ofício à ANPD solicitando medidas imediatas para apurar o recente megavazamento de dados.
Em nota, a ANPD afirmou que, desde que tomou conhecimento do vazamento de dados, destacou todo o seu quadro técnico para analisar os aspectos do ocorrido com base na LGPD (Lei Geral de Proteção de Dados).
“A ANPD já recebeu informações do Serasa e, na busca por mais esclarecimentos, oficiou a Polícia Federal, a empresa Psafe, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República”, afirmou o órgão.
Diante da especulação de que os dados teriam tido origem no Serasa, a Senacon (Secretaria Nacional do Consumidor) e o Procon-SP notificaram o birô de crédito, pedindo explicações sobre o vazamento de dados.
Questionada sobre a existência de uma investigação sobre o caso, a Polícia Federal não respondeu até a conclusão desta reportagem.