Vazamento que expôs 220 milhões de brasileiros é pior do que se pensava

Vazamento inclui CPF, foto de rosto, endereço, telefone, e-mail, score de crédito, salário e mais; Serasa nega ser fonte dos dados

TECNOBLOG

26 de Janeiro de 2021 às 10:14

Compartilhar via

Siga a gente no Google News

Compartilhar no Whatsapp

Vazamento que expôs 220 milhões de brasileiros é pior do que se pensava

Foto: Divulgação

Receba todas as notícias gratuitamente no WhatsApp do Rondoniaovivo.com.

ENTRAR NO GRUPO

Esta semana, surgiu a notícia de um vazamento enorme que expôs o CPF de mais de 220 milhões de brasileiros. O Tecnoblog descobriu que o caso é mais grave: esse conjunto de dados pessoais, oferecido de graça em um fórum de internet, está associado a uma base ainda maior que inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, renda e muito mais. O arquivo parece estar associado à Serasa Experian, mas a empresa nega ser a fonte.

Dois vazamentos de dados

Temos aqui dois casos distintos, mas relacionados. O primeiro vazamento inclui somente nome completo, CPF, data de nascimento e gênero: ele está disponível para download gratuito em um fórum bastante conhecido por divulgar esse tipo de informação.

O arquivo de 14 GB possui dados de 223,74 milhões de CPFs distintos, e aparentemente foi compilado em agosto de 2019. Ele está disponível na internet aberta, não na dark web: o link até foi indexado pela busca do Google. O número de pessoas afetadas é maior do que a população brasileira porque a base de dados também inclui falecidos.

Por sua vez, o segundo vazamento traz informações dos mesmos 223,74 milhões de pessoas e também teria sido compilado em agosto de 2019. Ele foi divulgado pelo mesmo usuário no fórum, e inclui os CPFs na mesma ordem, como ilustra a imagem abaixo:

Neste caso, só a prévia está disponível de graça: quem quiser o pacote completo tem que gastar dinheiro. Os preços variam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade comprada. O pagamento é feito somente em bitcoin.

No total, são 37 bases que incluem todo tipo de dado pessoal, incluindo RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre muitos outros.

Vazamento veio da Serasa Experian?

O vazamento maior é intitulado “Serasa Experian”, e existem alguns indícios de que estes dados podem estar relacionados à empresa:

*uma das bases traz dados do Mosaic, serviço da Serasa Experian que classifica os consumidores em 11 grupos e 40 segmentos, a fim de fazer anúncios segmentados e prospecção de clientes;

*outras duas bases possuem informações sobre modelos de afinidade e propensão, algo que também é oferecido pela Serasa, a chance de que uma pessoa tem de comprar determinado produto ou serviço como seguro, previdência privada, cartão de crédito, jogos, viagens, artigos de luxo, entre outros;

*há ainda uma lista de scores de crédito, produto pelo qual a Serasa é mais conhecida.

Em comunicado ao Tecnoblog, a Serasa Experian diz: “estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web; conduzimos uma investigação e neste momento não vemos nada que indique que a Serasa seja a fonte”.

Um novo posicionamento da Serasa afirma o seguinte:

Com base em nossa análise até o momento, concluímos que a Serasa não é a fonte desses dados. Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Serasa Score é carregado, nem com o Mosaic. Além disso, os dados que analisamos incluem elementos que nem mesmo temos em nosso sistema, e os dados que afirmam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos

E a LGPD?

A LGPD (Lei Geral de Proteção de Dados Pessoais), que está valendo desde setembro de 2020, prevê sanções que vão desde uma advertência até uma multa de 2% sobre o faturamento anual até o máximo de R$ 50 milhões.

No entanto, as punições só devem ser aplicadas a partir de agosto de 2021. Isso ficará a cargo da ANPD (Autoridade Nacional de Proteção de Dados), que ainda está definindo seus principais cargos técnicos.

O que foi exposto no vazamento de 220 milhões

O jornal contou com a ajuda do DataBreaches.net para descobrir os detalhes deste conjunto de dados, que está à venda na internet desde a semana passada.

Reunimos abaixo as principais informações que constam no vazamento maior:

*básico: nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe

*estado civil (casado, solteiro, divorciado, viúvo, outros)

*vínculo familiar: categoriza pessoas de acordo com vínculo de 1º grau (mãe, pai, filho, filha, irmão, irmã, cônjuge) ou 2º grau (avô, neto, tio, sobrinho, primo etc.)

*e-mail

*telefone: DDD, número, operadora, plano, tipo de linha (fixa, pré-paga, pós-paga), data de instalação

*endereço: logradouro, número, bairro, cidade, estado, CEP, tipo (residencial / comercial), latitude e longitude

*domicílios: CPF do chefe de família, número de pessoas, faixa de renda, endereço completo

*escolaridade: nível (analfabeto / fundamental / técnico / superior etc.)

*universitários: 1.643.105 pessoas com nome da faculdade, curso, ano de entrada e ano de conclusão

*ocupação: cargo, número CBO (Classificação Brasileira de Ocupações)

*emprego: CNPJ e razão social do empregador, número do PIS/PASEP/NIT, número do CTPS, tipo de vínculo (CLT, autônomo, servidor, aprendiz etc.), data de admissão, salário, horas de trabalho por semana

*salário: valor, tipo (mensal, quinzenal, semanal etc.), horas por semana

*renda: valor mensal (inclui salário, aluguéis, recebimento de juros etc.), classe social (baixa, média, alta), faixa de renda

*classe social (A1, A2, B1, B2, C1, C2, D, E)

*poder aquisitivo: nível (baixo, médio, alto), renda, salário

*Bolsa Família: valor, situação do benefício (liberado / bloqueado), status do benefício (ativo / inativo), número e nome dos dependentes, NIS (Número de Identificação Social)

*título de eleitor: número de inscrição, zona, seção, endereço, município, estado

*RG

*FGTS: número do PIS

*CNS (Cartão Nacional de Saúde)

*NIS (Número de Identificação Social)

*PIS/PASEP

*INSS: nome do segurado, número do benefício, data de início, espécie (aposentadoria, pensão, salário-maternidade etc.)

*IRPF (imposto de renda): nome da instituição bancária, código da agência, lote de restituição

*Receita Federal: situação cadastral (regular / suspensa / cancelada / titular falecido)

*score de crédito: atividade de crédito, score de risco, nível de risco (baixo / médio / alto)

*devedores: nome, tipo do devedor (principal, corresponsável), situação (ativa, em cobrança, ajuizada), tipo de dívida (multa, imposto de renda, PIS etc.), valor, foi parar na Justiça? (sim / não)

*cheques sem fundos: código e agência do banco, motivo (sem fundos / conta encerrada)

*Mosaic: grupo e subgrupo de segmentação

*afinidade: nível de precisão, percentil

*modelo analítico: prevê chance de consumidor ter afinidade para comprar um produto ou serviço

*fotos de rostos: 1.176.157 imagens JPEG com datas entre 2012 e 2020; o nome de arquivo é o CPF da pessoa correspondente

*LinkedIn: 5.051.553 perfis da rede social com número ID e URL de acesso

*empresarial: nome do sócio de uma empresa, participação (ações e %), razão social e nome fantasia da empresa, CNPJ, data de entrada na sociedade

*servidores públicos: descrição do cargo, lotação, exercício, renda bruta, estado, vínculo, afastamento (sim / não)

*conselhos: 2.260.960 pessoas que prestam consultoria no âmbito público ou privado, incluindo situação, especialidade e código de ocupação

*óbitos: data de falecimento, idade, data da certidão de óbito, nome e endereço do cartório

Direito ao esquecimento

Opiniões dos Assinantes (0)

A política de comentários em notícias do site da Rondoniaovivo.com valoriza os assinantes do jornal, que podem fazer comentários sobre todos os temas em todos os links.

Caso você já seja nosso assinante Clique aqui para fazer o login, para que você possa comentar em qualquer conteúdo. Se ainda não é nosso assinante Clique aqui e faça sua assinatura agora!