Vazamento de dados que expôs 220 milhões de brasileiros é o maior da história pode ser ainda pior

Vazamento de dados que expôs 220 milhões de brasileiros é o maior da história pode ser ainda pior. Ainda não é possível saber a origem do vazamento, mas há indícios de que as informações pertençam à base de dados do Serasa

Na semana passada, o dfndr lab, laboratório especializado em segurança digital da startup PSafe, revelou um vazamento de dados de proporções gigantescas listando mais de 223 milhões de CPFs. Junto deles estão informações detalhadas de cidadãos brasileiros: nome, endereço, renda, imposto de renda, fotos, participantes do Bolsa Família, scores de crédito e muito mais – os dados foram compilados em agosto de 2019. O volume de números de CPF é maior do que o da população brasileira, pois foram incluídas na base informações de pessoas que já morreram. Além disso, mais de 40 milhões de números de CNPJ, com informações atrelados a eles, também foram disponibilizados. Tudo está à venda em fóruns na internet. 

Ainda não é possível saber a origem do vazamento, mas há indícios de que as informações pertençam à base de dados do Serasa. O jornal Estadão teve acesso a parte dos dados e encontrou documentos e menções ao birô de avaliação de crédito. Uma das bases de dados supostamente pertence ao Mosaic, serviço do Serasa. Por enquanto, a empresa tem negado ser a origem do vazamento, e diz estar investigando o caso.

Em nota a empresa disse ao Estadão que “Estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web. Conduzimos uma extensa investigação e neste momento nenhum dos dados que analisamos indicam que a Serasa seja a fonte. Muitos dos dados analisados incluem elementos que não temos em nosso sistema e os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos.

O Procon de São Paulo informou nesta quinta-feira, dia 28 de janeiro, que pediu explicações à Serasa Experian sobre o vazamento dos dados pessoais de mais de 223 milhões de brasileiros. “Além de solicitar a confirmação do incidente, o Procon-SP pede que a instituição informe os motivos que causaram o problema e quais providências tomou para contê-lo”, relata o órgão de defesa do consumidor em comunicado. “A Serasa também deverá informar o que fará para reparar os danos decorrentes do vazamento desses dados e evitar que a falha volte a acontecer”, diz.

Na segunda-feira (25), a Secretaria Nacional do Consumidor (Senacon) notificou a empresa dando 15 dias para explicações sobre a origem dos dados. 

Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020 para disciplinar as regras sobre o tratamento e armazenamento de dados pessoais, restabelecer ao titular desses dados o controle de suas informações e proteger os direitos fundamentais de liberdade e de privacidade. As sanções previstas na lei poderão ser aplicadas a partir de agosto. Já o Código de Defesa do Consumidor determina multas que vão de R$ 704,27 a R$ 10.546.442,048.

 

E a LGPD?

LGPD (Lei Geral de Proteção de Dados Pessoais), que está valendo desde setembro de 2020, prevê sanções que vão desde uma advertência até uma multa de 2% sobre o faturamento anual até o máximo de R$ 50 milhões.

No entanto, as punições só devem ser aplicadas a partir de agosto de 2021. Isso ficará a cargo da ANPD (Autoridade Nacional de Proteção de Dados), que ainda está definindo seus principais cargos técnicos.

O que foi exposto no vazamento de 220 milhões

Parte das pastas inclusas no vazamento (Imagem: Reprodução)

Parte das pastas inclusas no vazamento (Imagem: tecnoblog)

Tecnoblog diz que contou com a ajuda do DataBreaches.net para descobrir os detalhes deste conjunto de dados, que está à venda na internet desde a semana passada.

Reunimos abaixo as principais informações divulgadas pelo Tecnoblog que constam no vazamento:

  • básico: nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe
  • estado civil (casado, solteiro, divorciado, viúvo, outros)
  • vínculo familiar: categoriza pessoas de acordo com vínculo de 1º grau (mãe, pai, filho, filha, irmão, irmã, cônjuge) ou 2º grau (avô, neto, tio, sobrinho, primo etc.)
  • e-mail
  • telefone: DDD, número, operadora, plano, tipo de linha (fixa, pré-paga, pós-paga), data de instalação
  • endereço: logradouro, número, bairro, cidade, estado, CEP, tipo (residencial / comercial), latitude e longitude
  • domicílios: CPF do chefe de família, número de pessoas, faixa de renda, endereço completo
  • escolaridade: nível (analfabeto / fundamental / técnico / superior etc.)
  • universitários: 1.643.105 pessoas com nome da faculdade, curso, ano de entrada e ano de conclusão
  • ocupação: cargo, número CBO (Classificação Brasileira de Ocupações)
  • emprego: CNPJ e razão social do empregador, número do PIS/PASEP/NIT, número do CTPS, tipo de vínculo (CLT, autônomo, servidor, aprendiz etc.), data de admissão, salário, horas de trabalho por semana
  • salário: valor, tipo (mensal, quinzenal, semanal etc.), horas por semana
  • renda: valor mensal (inclui salário, aluguéis, recebimento de juros etc.), classe social (baixa, média, alta), faixa de renda
  • classe social (A1, A2, B1, B2, C1, C2, D, E)
  • poder aquisitivo: nível (baixo, médio, alto), renda, salário
  • Bolsa Família: valor, situação do benefício (liberado / bloqueado), status do benefício (ativo / inativo), número e nome dos dependentes, NIS (Número de Identificação Social)
  • título de eleitor: número de inscrição, zona, seção, endereço, município, estado
  • RG
  • FGTS: número do PIS
  • CNS (Cartão Nacional de Saúde)
  • NIS (Número de Identificação Social)
  • PIS/PASEP
  • INSS: nome do segurado, número do benefício, data de início, espécie (aposentadoria, pensão, salário-maternidade etc.)
  • IRPF (imposto de renda): nome da instituição bancária, código da agência, lote de restituição
  • Receita Federal: situação cadastral (regular / suspensa / cancelada / titular falecido)
  • score de crédito: atividade de crédito, score de risco, nível de risco (baixo / médio / alto)
  • devedores: nome, tipo do devedor (principal, corresponsável), situação (ativa, em cobrança, ajuizada), tipo de dívida (multa, imposto de renda, PIS etc.), valor, foi parar na Justiça? (sim / não)
  • cheques sem fundos: código e agência do banco, motivo (sem fundos / conta encerrada)
  • Mosaic: grupo e subgrupo de segmentação
  • afinidade: nível de precisão, percentil
  • modelo analítico: prevê chance de consumidor ter afinidade para comprar um produto ou serviço
  • fotos de rostos: 1.176.157 imagens JPEG com datas entre 2012 e 2020; o nome de arquivo é o CPF da pessoa correspondente
  • LinkedIn: 5.051.553 perfis da rede social com número ID e URL de acesso
  • empresarial: nome do sócio de uma empresa, participação (ações e %), razão social e nome fantasia da empresa, CNPJ, data de entrada na sociedade
  • servidores públicos: descrição do cargo, lotação, exercício, renda bruta, estado, vínculo, afastamento (sim / não)
  • conselhos: 2.260.960 pessoas que prestam consultoria no âmbito público ou privado, incluindo situação, especialidade e código de ocupação
  • óbitos: data de falecimento, idade, data da certidão de óbito, nome e endereço do cartório

As multas da LGPD ainda não podem ser aplicadas. O que poderia ser aplicado de sanção contra o Serasa, caso seja confirmada a origem dos dados? Seria possível adiantar possíveis multas da LGPD?

Em hipótese nenhuma as multas da LGPD poderiam ser adiantadas – exceto se o Congresso aprovasse um projeto de lei. ANPD hoje não tem dentes para morder quando isso se faz necessário. Porém, a LGPD deixa claro que, em algumas situações, você pode ter violações múltiplas de direitos. Isso significa que a Senacon e outros órgãos de proteção do consumidor podem atuar. Eles podem atuar não apenas com base na LGPD, mas com base no Código de Defesa do Consumidor. E aí sim você pode verificar um cenário de imposições de multas. 

A ANPD consegue fazer alguma coisa nesse momento?

Segundo o Estadão, em tese, a ANPD já está operando. Tem alguns diretores nomeados, alguns membros também do corpo técnico já nomeados, então ela pode atuar. Esse é um bom teste de fogo para ver se vai funcionar ou não. A ANPD pode atuar de maneira cooperativa com outros órgãos reguladores. Se esse é um caso não apenas de proteção de dados pessoais mas também de defesa do consumidor, ela poderia atuar em cooperação com a Senacon e com outras entidades de proteção e de defesa do consumidor. Ela pode atuar tecnicamente, verificando quais os melhores caminhos para formatar o plano de contingência. Em um segundo momento, ela pode desdobrar para punições e sanções. Ela não vai poder se valer da LGPD, mas ela pode atuar de maneira cooperativa com a Senacon, que pode utilizar o Código de Defesa do Consumidor para aplicar multas e sanções. E aí tem um cenário interessante: o Código de Defesa do Consumidor foi pensado para franquear proteção que visa a coletividade – aquilo que chamamos de interesses difusos e coletivos. Esse vazamento é um cenário no qual um interesse difuso e coletivo está sendo entrincheirado. Milhões de brasileiros tiveram seus dados vazados. Não só a Senacon, mas também Ministério Público, defensorias, Procons e associações, como o Idec, poderiam atuar para fazer a tutela desses direitos coletivos. 

Fonte: Tecnoblog & Estadão & Diário do Litoral & R7

 

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

8 Trackbacks / Pingbacks

  1. Semana da Privacidade - Expectativas da LGPD para 2021
  2. Agenda regulatória da LGPD para o biênio 2021-2022
  3. Guardicore lança o IPCDump
  4. Microsoft divulga correção para Zero Day e outros 56 CVEs
  5. Mais 100 Milhões de dados de brasileiros na dark web
  6. Mais 100 Milhões de dados de brasileiros na dark web – Neotel Segurança Digital
  7. Vazamento de dados “made in Brazil
  8. Vazamento de dados “made in Brazil” – Neotel Segurança Digital

Deixe sua opinião!