Agência Brasil Vazamento contém muitos dados dos usuários
Esta semana, surgiu a notícia de um vazamento enorme que expôs o CPF de mais de 220 milhões de brasileiros . O Tecnoblog descobriu que o caso é mais grave: esse conjunto de dados pessoais, oferecido de graça em um fórum de internet , está associado a uma base ainda maior que inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, renda e muito mais. O arquivo parece estar associado à Serasa Experian , mas a empresa nega ser a fonte.
Dois vazamentos de dados
Temos aqui dois casos distintos, mas relacionados. O primeiro vazamento inclui somente nome completo, CPF , data de nascimento e gênero: ele está disponível para download gratuito em um fórum bastante conhecido por divulgar esse tipo de informação.
O arquivo de 14 GB possui dados de 223,74 milhões de CPFs distintos, e aparentemente foi compilado em agosto de 2019. Ele está disponível na internet aberta, não na dark web : o link até foi indexado pela busca do Google . O número de pessoas afetadas é maior do que a população brasileira porque a base de dados também inclui falecidos.
Por sua vez, o segundo vazamento traz informações dos mesmos 223,74 milhões de pessoas e também teria sido compilado em agosto de 2019. Ele foi divulgado pelo mesmo usuário no fórum, e inclui os CPFs na mesma ordem.
Você viu?
Neste caso, só a prévia está disponível de graça: quem quiser o pacote completo tem que gastar dinheiro. Os preços variam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade comprada. O pagamento é feito somente em bitcoin.
No total, são 37 bases que incluem todo tipo de dado pessoal, incluindo RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre muitos outros.
Vazamento veio da Serasa Experian?
O vazamento maior é intitulado “Serasa Experian”, e existem alguns indícios de que estes dados estão relacionados à empresa:
Em comunicado ao Tecnoblog, a Serasa Experian diz: “estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web; conduzimos uma investigação e neste momento não vemos nada que indique que a Serasa seja a fonte”.
E a LGPD?
A LGPD (Lei Geral de Proteção de Dados Pessoais), que está valendo desde setembro de 2020 , prevê sanções que vão desde uma advertência até uma multa de 2% sobre o faturamento anual até o máximo de R$ 50 milhões.
No entanto, as punições só devem ser aplicadas a partir de agosto de 2021. Isso ficará a cargo da ANPD (Autoridade Nacional de Proteção de Dados), que ainda está definindo seus principais cargos técnicos.
O que foi exposto no vazamento de 220 milhões
O Tecnoblog contou com a ajuda do DataBreaches.net para descobrir os detalhes deste conjunto de dados, que está à venda na internet desde a semana passada.
Reunimos abaixo as principais informações que constam no vazamento maior:
Fonte: TECNOLOGIA.IG.COM.BR