Read, hack, repeat

FuiVazado! libera código fonte no GitHub após questionamentos de segurança

Guilherme Petry 0 min

Allan Fernando, o responsável pelo site FuiVazado!, criado no final de janeiro, para que a população pudesse checar se suas informações pessoais foram publicados no vazamento de dados massivo de mais de 223 milhões de brasileiros - supostamente ligado à Serasa Experian -, publicou o código fonte do serviço no GitHub, nesta segunda-feira (01), após vários questionamentos sobre a segurança e confiabilidade da plataforma.

O desenvolvedor acredita que não há porque questionar a segurança do sistema, já que o site não coleta dados de usuários, não armazena histórico de pesquisas e foi criado, exclusivamente, com objetivo de informar. O que é um direito de todos, informa Allan.

Captura de tela do site FuiVazado!
Captura de tela do site FuiVazado!

Agora que o código está aberto, qualquer um interessado pode checar a segurança do sistema, mesmo sem as credenciais de acesso ao FuiVazado!, que não foram divulgadas.

“Não sei exatamente o que dizer para quem não confia [na integridade da ferramenta], eu fiz o site porque acho que todos tem o direito de saber se seus dados vazaram [...] O site não armazena os dados das consultas, e apenas consulta dados já vazados [...] Eu explico que somente tenho os indicativos que os dados vazaram, não os dados em si”, explica Allan ao Tecnoblog.

O vazamento

Segundo a reportagem especial da The Hack sobre o caso, que pode ser considerado o maior vazamento de dados da história do Brasil, um cibercriminoso publicou uma lista com nome, CPF, gênero e data de nascimento de cerca de 223 milhões de brasileiros, de forma gratuita, na internet superficial, em um fórum indexado pelo Google.

Outro banco de dados, publicado no mesmo fórum, pelo mesmo usuário, anuncia um serviço completo de levantamento de dados, teoricamente, pertencente ao Serasa Experian, por US$ 500 (pagos em bitcoin). Serasa Experian é uma das maiores empresas brasileiras que coleta e analisa informações da população e as vende para bancos e instituições financeiras.

Junto com este anúncio, foi publicado uma espécie de guia: uma lista com os mesmos 223 milhões de CPFs em uma planilha indicando quais outras 37 categorias de dados (relação a baixo), estão relacionadas a um CPF e podem ser encontradas no banco, anunciado por US$ 500.

Básico; E-mail; Telefone; Endereço; Mosaic; Ocupação; Score de Crédito; Registro Geral; Título de Eleitor; Escolaridade; Empresarial; Receita Federal; Classe Social; Estado Civil; Emprego; Afinidade; Modelo Analítico; Poder Aquisitivo; Fotos de Rostos; Servidores Público; Cheques sem Fundos; Devedores; Bolsa Família; Universitários; Conselhos; Domicílios; Vínculos; LinkedIn; Salário; Renda; Óbitos; IRPF; INSS; FGTS; CNS; NIS; PIS.

Essa planilha com a relação de dados também foi publicada gratuitamente e é apenas um indicativo de quais dados podem ser comprados com o cibercriminoso.

É importante lembrar que esse vazamento engloba muitos outros dados delicados que foram expostos ou estão sendo vendidos na internet. Para mais informações, acesse: "Investigamos! Tudo o que você queria saber sobre o vazamento de 220 milhões de CPFs".

Como funciona o FuiVazado!

O site FuiVazado! teve acesso à essas planilhas gratuitas, tanto a dos CPFs, com nome, gênero e data de nascimento, como a planilha com a relação dos dados. Sendo assim, o sistema do FuiVazado! não tem acesso aos dados que estão sendo vendidos, somente ao indicador deles, informa Allan.

Um usuário coloca o seu CPF e sua data de nascimento no sistema e com isso consegue acesso a essa planilha que indica quais outros dados (além do CPF, nome, gênero e data de nascimento) estão sendo vendidos na internet.

“Essa é a versão mais recente do PHP do FuiVazado.com.br, sem as credenciais do banco de dados (eu troquei as credenciais no GitHub para ninguém acessar os dados e usar eles para outros fins). O banco de dados e os arquivos CSVs para a geração dele não serão liberados, esse código é apenas para mostrar a funcionalidade do site, eu não vou deixar o link para download de 223 milhões de CPFs”, explica Allan no GitHub.


Fontes: FuiVazado! (site), (GitHub); Tecnoblog.

Compartilhar twitter/ facebook/ Copiar link
Você se inscreveu com sucesso no The Hack
Bem vindo de Volta!
Massa! Você se registrou com sucesso.
Sucess! Sua conta está completamente ativada.