O maior vazamento de dados do qual se tem notícia até hoje aconteceu na semana passada. Foram vazados dados de 220 milhões de brasileiros, ou seja, mais pessoas do que a população viva no Brasil. Noticiado pelo Tecnoblog, o vazamento ainda traz desdobramentos a respeito dos dados expostos na internet.

Hoje, um pesquisador que prefere não ser identificado procurou a EXAME para trazer mais informações sobre o vazamento de dados na web.

“O site Tecnoblog tinha publicado que o dado podia ser localizado com pesquisa no Google. Eu encontrei em fóruns anônimos, os chans. Lá, vi que o hacker que vendia pacotes de dados de brasileiros forneceu uma amostra grátis que continha informações como CPFs, números de telefone da operadora Vivo e o tipo de plano de celular da pessoa. É possível que tenha vazado de diferentes fontes. Mas o hacker padronizou tudo em um mesmo formato, apesar de haver dados da Vivo e da Mosaic, ferramenta de segmentação do Serasa, e da Receita Federal”, afirmou.

“São cerca de 40 GB de dados pessoais, contendo mais de 200 milhões de CPFs. O que assusta é ver que os CPFs aparecem em várias das amostras. Algumas pessoas tiveram dados completos vazados já na amostra e há algumas fotos de rosto também.”

As informações vazadas também foram analisadas por Raphael Sant'Anna, engenheiro de dados da equipe de tecnologia da informação da EXAME. A análise também aponta a possibilidade de o vazamento conter dados de diferentes fontes.

Com os dados em mãos, crimes de fraude online podem se tornar mais frequentes e não há muito que se possa fazer, uma vez que dados como CPF e afiliação são imutáveis.

A Receita Federal negou vazamento de sua base de dados e se colocou à disposição das autoridades para que o fato "seja apurado e devidamente esclarecido".

A Agência Nacional de Proteção de Dados informou que está apurando o caso para encontrar a fonte do vazamento e "concluída esta etapa, a ANPD sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados (LGPD), para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos".

Procurado, o Serasa Experian nega que o vazamento de informações pessoais tenha ocorrido a partir de seu banco de dados, embora haja menção ao sistema Mosaic. “Tem havido notícias na mídia de que um hacker está oferecendo ilegalmente dados sobre cidadãos brasileiros na web. Embora o hacker afirme que parte dos dados veio da Serasa, com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos”, informa o Serasa em nota para a EXAME. No entanto, Procon-SP e Senacon (Secretaria Nacional do Consumidor) notificaram o Serasa a respeito do vazamento de informações ligadas à empresa.

A Vivo também negou vazamento de dados. "A Vivo reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade", informou em nota.

Para Arthur Igreja, professor convidado da FGV e especialista em inovação, as implicações do vazamento de informações na web são graves.

”Um vazamento dessa magnitude afeta os brasileiros, pois estamos vivendo na era em que os dados são considerados o novo petróleo em razão do valor. Sendo assim, o que tivemos foi um grande assalto às casas de muitas pessoas, e o problema é que isso desencadeia toda possibilidade de criação de cadastro, engenharia social, entrar em contato, golpes que ficam mais fáceis, marketing, direcionamento de campanhas, verificação de informações pessoais e de empresas. Fazendo uma metáfora com a situação, é como se as pessoas ficassem sabendo que as cópias das chaves de suas casas estão disponíveis para qualquer um", afirmou Igreja para EXAME. “Qualquer interação que se tenha entre pessoas, empresas e no uso de aplicativos é preciso disponibilizar dados. É utópico dizer que nossos dados estão 100% seguros.”

O que fazer agora?

Segundo Adriano Mendes, do escritório de advocacia Assis e Mendes, especializado em direito digital, o vazamento causa perplexidade e é considerado o maior até o momento no Brasil. “Pelo tipo, quantidade e qualidade dos dados encontrados é inegável que este banco de dados não foi formado em pouco tempo ou sem acesso a um grande volume de dados vindos de bancos, empresas de crédito, banco de dados do governo e também de serviços de proteção de crédito”, afirma.

O advogado explica que, por enquanto, não há o que ser feito a respeito do vazamento de informações pessoais. “Ainda não conseguimos ligar os problemas descritos a este vazamento. Precisamos de uma ligação entre causa e efeito para conseguirmos entrar com uma ação e ainda estamos investigando para saber o que é possível. Mesmo que as sanções da LGPD ainda não estejam em vigor, pois só passarão a valer a partir de 1º de agosto deste ano, sendo descoberta a empresa que deu origem ao vazamento, certamente haverá a aplicações de multas baseadas em outras leis como o Código de Defesa do Consumidor ou legislações específicas”, diz.

Para Mendes, o consumidor só terá direito a algum tipo de indenização se tiver algum tipo de problema ou prejuízo em razão do vazamento. A dica que o especialista deixa é aproveitar a oportunidade para rever senhas e ligar a autenticação dupla de contas pelo número do celular ou pelo e-mail. “É muito frustrante descobrirmos que nossos dados já faziam parte de uma base de dados gigantesca que foi exposta por questões técnicas que poderiam ser evitadas e ninguém assumir a responsabilidade ou nos avisar“, afirma o advogado.

Podcast: chegou a hora de sair das redes sociais?