Read, hack, repeat

Investigamos! Tudo o que você queria saber sobre o vazamento de 220 milhões de CPFs

Ramon de Souza

Ao longo da última semana, diversos veículos de mídia nacionais e estrangeiros noticiaram aquele que supostamente seria o maior vazamento de dados da história do Brasil — um cibercriminoso teria posto as mãos em uma base contendo nada menos do que 220 milhões de CPFs, 40 milhões de CNPJs e informações detalhadas a respeito de 140 milhões de veículos registrados nos órgãos estaduais de trânsito.

O alerta inicial foi emitido pelo dfndr lab, o laboratório de pesquisas da PSafe; posteriormente, sites e blogs especializados em tecnologia revelaram que o impacto do incidente seria muito maior do que o inicialmente divulgado pela companhia, já que a coleção também incluiria detalhes de pessoas físicas como renda, endereço, profissão, eventuais débitos em órgãos de proteção de crédito e até fotografias.

Mas, afinal, o que realmente aconteceu? A The Hack, como de praxe, preferiu não se pronunciar imediatamente e elaborar um conteúdo apenas depois que certos fatos tivessem sido verificados. Estamos investigando o incidente desde a noite da sexta-feira retrasada (ou seja, dia 22 de janeiro) e, após uma longa apuração, podemos confirmar que estamos diante de um vazamento realmente catastrófico e preocupante.

Ok, vamos pelo início

O alerta inicial emitido pelo dfndr lab não citou tal fato, mas o vazamento em questão foi identificado no RaidForum, um fórum hospedado na surface web destinado a compra e venda de bancos de dados roubados (tal como outros artigos específicos para a prática de cibercrimes, incluindo exploits, tutoriais etc.). No dia 14 de janeiro, um usuário identificado apenas como JustBR disponibilizou, gratuitamente, uma base de 223 milhões de CPFs.

A coleção — que possui nada menos do que 14 GB quando descomprimida — conta apenas com o número do documento, nome completo do cidadão, gênero e data de nascimento. Segundo o usuário do fórum, a compilação foi feita em agosto de 2019 e “não faz parte de nenhuma outra compilação conhecida, sendo oferecida exclusivamente pelo JustBR”. Tal base, porém, é só uma pequena amostra do que o criminoso pode fazer.

Em outro tópico publicado três dias antes, JustBR anunciou, comercialmente, um serviço completo de levantamento de dados teoricamente oriundos do Serasa Experian, mais famoso bureau de crédito do Brasil. O golpista disponibilizou um arquivo com exemplos de dados que ele seria capaz de levantar — tanto de pessoas físicas quanto de pessoas jurídicas —, alertando, porém, que o pedido mínimo seria de US$ 500.

O anúncio veio junto de outra amostra, que a The Hack teve o prazer de obter acesso. A quantidade de informações pessoais que JustBR se diz capaz de levantar (e atesta tal capacidade com a amostra analisada) é impressionante, podendo ser dividida em 37 categorias distintas, devidamente organizadas em diretórios dentro da base de exemplo.

Temos CPF, RG, nome completo, gênero, data de nascimento, nome dos pais, estado civil, ano de atualização dos dados, email, endereço, ocupação, telefones, escolaridade, estado civil, classe social, salário, outras rendas, informações sobre benefícios (Bolsa Família, FGTS, INSS), declarações de imposto de renda (IRPF), PIS, NIS, CNS, poder aquisitivo, score de crédito e muito mais.

O mais interessante é que um dos diretórios da amostra analisada é chamada de “Mosaic”, nome da solução da Serasa Experian que segmenta a população brasileira em 11 grupos e 40 segmentos diferentes. Em um arquivo CSV, encontramos diversas segmentações como “Experientes Urbanos de Vida Confortável”, “Assalariados de Meia-Idade das Grandes Cidades”, “No Coração da Periferia”, “Massa Trabalhadora Urbana” e “Pedacinho de Terra”.

Ademais, encontramos documentos em PDF com todo o material de comunicação oficial das soluções da Serasa para pessoas jurídicas. Esses PDFs incluem guias legítimos que ajudam a entender o cálculo de score de crédito, as segmentações do Mosaic e os Modelos de Afinidades (ou seja, os perfis de consumo dentro e fora da internet para cada membro de cada segmento).

E sobre as pessoas jurídicas?

No âmbito de CNPJs, não temos uma gama tão ampla de informações — ainda assim, a quantidade de dados também impressiona. Além do número de registro, temos acesso ao telefone, representante legal, email de contato, endereço, CNAE, capital social, classe de operação, score de crédito, cheques sem fundo e até informações de tributação sobre o Simples Nacional.

O que diz a Serasa Experian?

Procurada pela The Hack, a Serasa Experian afirmou que continua investigando o caso, mas garante que, até o momento, não há indícios de que a base tenha sido exfiltrada de seus sistemas. Confira o posicionamento da empresa na íntegra:

“Tem havido notícias na mídia de que um hacker está oferecendo ilegalmente dados sobre cidadãos brasileiros na web. Embora o hacker afirme que parte dos dados veio da Serasa, com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos.

Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.

Concluímos que esta é uma alegação infundada.

Continuamos monitorando ativamente a situação e em contato com os reguladores para auxiliá-los em quaisquer dúvidas que possam ter em relação a esse assunto. Temos um forte compromisso de proteger a privacidade dos dados pessoais que tratamos e acreditamos que temos os sistemas de segurança necessários para isso.”

As autoridades se pronunciam

Uma das primeiras entidades a se pronunciar a respeito do vazamento foi a Fundação de Proteção e Defesa do Consumidor de São Paulo (Procon-SP). Em nota enviada à The Hack, o órgão confirmou ter enviado uma notificação à Serasa Experian para que o bureau dê explicações sobre o incidente — tal como eventuais ações para conter a disseminação dos dados expostos pela web.

(Reprodução: Governo do Estado de São Paulo)

“Iremos aguardar a resposta da empresa para analisar e avaliar as penalidades compatíveis. As penas previstas na LGPD, que podem chegar até 50 milhões, poderão ser aplicadas a partir de agosto, mas o Procon-SP pode multar de acordo com o Código de Defesa do Consumidor (CDC)”, comentou o diretor executivo do Procon-SP, Fernando Capez. A Serasa teria que responder até este último sábado (30).

Além disso, na quarta-feira (27), a redação da The Hack contatou o diretor da Autoridade Nacional de Proteção de Dados (ANPD), Arthur Pereira Sabbat, sobre o posicionamento do órgão a respeito do assunto. Inicialmente, Sabbat nos respondeu dizendo que a autoridade ainda não possuía nada a compartilhar sobre o incidente; posteriormente, porém, a ANPD garantiu já estar apurando o caso para descobrir a origem do vazamento, a forma como ocorreu, medidas de contenção e possíveis consequências da violação.

A passividade da ANPD encorajou a Ordem dos Advogados do Brasil (OAB) a encaminhar um ofício na quinta-feira (28) pedindo urgência na investigação. “O ocorrido submete praticamente toda a população brasileira a um cenário de grave risco pessoal e irreparável violação à privacidade e precisa ser investigado a fundo pelas autoridades competentes, em particular por essa agência”, destaca o ofício.

A Secretaria Nacional do Consumidor (Senacon) também instaurou um inquérito para investigar o incidente.

Todo o cuidado é pouco

De acordo com uma reportagem do G1, é possível que criminosos já estejam utilizando os dados vazados para aplicar golpes, incluindo saques ilegais de saldos do FGTS através do aplicativo Caixa Tem. A The Hack orienta cautela por parte de toda a população brasileira enquanto o incidente é investigado pelas autoridades; confira frequentemente seu saldo de benefícios trabalhistas e sociais e redobre o cuidado com tentativas de phishing.


Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.