Após o megavazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, dados de algumas das maiores autoridades do País estão à venda na internet. Entre os afetados estão o presidente da República, Jair Bolsonaro (sem partido), o presidente da Câmara, Rodrigo Maia (DEM-RJ) , o presidente do Senado, David Alcolumbre (DEM-AP), e os 11 ministros do Supremo Tribunal Federal (STF).
A pedido do Estadão, a empresa de segurança Syhunt analisou alguns dos arquivos disponibilizados pelo criminoso na internet — não é possível saber a identidade e o número de pessoas envolvidas no vazamento. Um dos arquivos é considerado o ‘catálogo’ das informações em poder do hacker. Nele, é possível fazer uma busca com nome completo ou CPF para encontrar aquilo que o hacker colocou à venda. Ou seja, o Estadão e a empresa não tiveram acesso aos dados das autoridades citadas na reportagem — o que foi encontrado é aquilo que o hacker diz ter colocado à venda. São menções à existência dessas informações.
O hacker está oferecendo informações em 37 categorias: básico simples, básico completo, e-mail, telefone, endereço, Mosaic (um serviço oferecido pelo Serasa), ocupação, score de crédito, registro geral, título de eleitor, escolaridade, empresarial, Receita Federal, classe social, estado civil, emprego, afinidade, modelo analítico, poder aquisitivo, fotos de rostos, servidores públicos, cheques sem fundos, devedores, Bolsa Família, universitários, conselhos, domicílios, vínculos, LinkedIn, salário, renda, óbitos, IRPF, INSS, FGTS, CNS, NIS e PIS. Segundo o catálogo, a maioria das informações são referentes ao ano de 2019, mas há bases de 2017, 2018 e 2020 no pacote. A categoria ‘fotos de rostos’ também inclui arquivos entre 2012 e 2020.
Entre as 37 categorias, Bolsonaro aparece com dados em 20, Maia, em 15, e Alcolumbre, 16. Entre os ministros do STF, Ricardo Lewandowski é o mais afetado, com dados em 26 categorias. O presidente da corte, Luiz Fux, tem dados ofertados em 23 categorias. Todos outros também têm dados em mais de 20 categorias: Dias Toffoli (25), Luiz Roberto Barroso (25), Alexandre de Moraes (24), Gilmar Mendes (24), Rosa Weber (23), Kassio Nunes Marques (23), Edson Fachin (22), Cármen Lúcia (21) e Marco Aurélio Mello (21).
Algumas das categorias parecem não fazer sentido, mas trazem bastante informação. A categoria ‘modelo analítico’, na qual aparecem todas as autoridades citadas na reportagem, tem informações nas seguintes subcategorias: cliente premium, proprietário de casa, artigos de luxo, investidor, tomador, banda larga, TV a cabo, posse de cartão do primeiro, posse de múltiplos cartões, posse de cartão de crédito, posse de múltiplos cartões de crédito, seguro residencial, seguro automóvel, seguro saúde, seguro de vida, celular pré-pago, celular pós-pago, usuário da internet, usuário de smartphone, joga jogos de vídeo, joga jogos online, internet banking, compra internet, tomador de crédito pessoal, finance de veículos, pacotes de turismo, ano de atualização.
A única categoria que foi toda publicada pelos hackers, e já circula livremente na internet, é a que deve afetar o maior número de pessoas: básico simples. Ela inclui CPF, nome completo, sexo, gênero e data de nascimento.
Nem todas as autoridades têm informações listadas nas mesmas categorias, um indício de como o vazamento deve afetar a população. Bolsonaro, por exemplo, teria fotos de rosto, algo que não aconteceu com todos os ministros do STF. Gilmar Mendes e Alexandre de Moraes, por exemplo, têm dados de PIS, renda e salário — Bolsonaro, por exemplo, só aparece em renda. Já Rosa Weber tem à venda dados referentes ao imposto de renda de 2017.
“Não é possível saber se os criminosos têm as informações ou não, mas é muito difícil que não tenham. As amostras foram claramente exportadas por uma ferramenta interna de consulta do hacker”, diz Felipe Daragon, fundador da Syhunt.
Inicialmente, o hacker também publicou outros pacotes de dados que serviam como uma espécie de ‘amostra grátis’ daquilo que ele tem para oferecer. Em cada uma das 37 categorias para pessoa física, ele colocou dados aleatórios de cerca de 1.000 pessoas, o que permitiu que informações de cerca de 40 mil brasileiros circulassem livremente pela internet. O link foi desativado no final da semana passada, mas estava online desde o dia 11 de janeiro — o post que anuncia a venda continua no ar. A Syhunt analisou também os pacotes da ‘amostra grátis’.
Os dados são vendidos em pacotes a partir de US$ 500. Segundo as postagens dos criminosos, não são aceitos pedidos para uma única pessoa. No material postado na internet, os criminosos dizem que não vendem os dados das 37 categorias para o mesmo CPF — o limite seria de dez categorias de dados.
Além de todos os riscos, Daragon ressalta que o vazamento é perigoso porque também permite o cruzamento de informações para se chegar aos parentes das vítimas. A base de dados chamada ‘vínculos’ promete entregar relações familiares em primeiro e segundo grau. A partir disso, seria possível fazer buscas sobre essas pessoas. Entre as 14 autoridades analisadas, apenas cinco (Maia, Alcolumbre, Cármen Lúcia, Kassio Nunes e Marco Aurélio Mello) não têm dados na base vínculos à venda.
“Em casos de sobrenomes menos populares, também é possível também chegar a relações familiares apenas realizando buscas simples”, diz Daragon.
Caso é grave
Segundo especialistas ouvidos pelo Estadão, esse pode ser o maior roubo de informações da história do País — ele foi reportado inicialmente em 19 de janeiro pela empresa de segurança digital PSafe. A origem do vazamento ainda é desconhecida. Inicialmente, o Serasa era apontado como a fonte dos dados — além de o hacker afirmar ter obtido as informações junto ao birô de crédito, os pacotes de dados trazem referências à empresa. Uma delas é uma pasta que se chama Mosaic, um serviço oferecido pelo Serasa. A outra são arquivos no formato PDF que trazem manuais de produtos da empresa, como o score de crédito. O Serasa tem repetido que investigou o caso, concluindo que as informações não têm origem na sua base de dados.
Em nota, a Serasa Experian afirma: “Com base em nossa análise detalhada até este ponto, concluímos que o Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos. Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.”
De fato, embora não seja possível determinar a fonte, alguns especialistas em segurança digital já acreditam que os dados tenham origens diversas — não apenas do birô de crédito.
Órgãos se manifestam
Na segunda, 25, a Secretaria Nacional do Consumidor (Senacon) afirmou que instaurou um procedimento de averiguação preliminar para “avaliar a materialidade e autoria” do vazamento. O órgão deu um prazo de 15 dias para o Serasa Experian responder às seguintes perguntas: se a instituição reconhece que os dados vazaram de suas bases ou de operadores parceiros, por quanto tempo os dados ficaram expostos, quem teve acesso aos dados e que dados foram acessados.
Além disso, a Senacon questiona as medidas tomadas pela empresa para melhorar a segurança da privacidade dos titulares dos dados e também pede esclarecimento sobre seu modelo de negócios para entender se algum serviço do Serasa envolve a disponibilização, o fornecimento ou o tratamento de dados.
Na quinta, 28, o Procon-SP notificou o Serasa pedindo explicações sobre o caso. Já a Autoridade Nacional de Proteção de Dados (ANPD) se manifestou apenas na quarta, 27, oito dias após o caso vir a público.
Em nota ao Estadão, a ANPD disse que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes e oficiará para apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação”.
O órgão afirma ainda que “sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados, para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”.
