Após o megavazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, ocorrido no dia 18 de janeiro, informações de 39.645 brasileiros e 22.983 empresas nacionais começaram a circular livremente e gratuitamente na internet. Mas como saber se os meus dados fazem parte da lista?
Para responder a esta questão, o desenvolvedor Allan Fernando criou uma plataforma que dá acesso a essas informações. Chamada de "Fui Vazado", a plataforma mostra quem foi afetado pela falha de segurança e quais informações vazaram. Basta acessar o site, informar o número do CPF e a data do nascimento e realizar uma verificação no estilo Captcha.
Em entrevista ao portal TecMundo, Allan Fernando afirma que o site apenas bate as informações fornecidas pelo usuário com os detalhes encontrados nos bancos de dados vazados e que a plataforma não guarda as credenciais utilizadas na verificação.
Acesso para quem tem CNPJ
O site "Fui Vazado!" também pode ser consultado por pessoas jurídicas. Para isso, basta realizar o mesmo processo, informando o CNPJ da empresa.
Os bancos de dados que estão circulando na internet incluem informações de aproximadamente 40 milhões de negócios. Outra alternativa é acessar o site Syhunt, desenvolvido pela firma de segurança de mesmo nome. O procedimento exige apenas o número do CNPJ de sua empresa.
Arquivos vazados
Um dos arquivos é considerado o 'catálogo' do criminoso - nele estão listadas, mas não reveladas, as informações que estão à venda. É possível, por exemplo, usar um número de CPF para saber o que está em poder do criminoso para aquele número.
Outros dois pacotes de dados, um para pessoa física e outra para pessoa jurídica, são uma espécie de 'amostra grátis' daquilo que o hacker tem para oferecer. Para pessoas físicas, são 37 categorias de informações preenchidas, em média, com dados aleatórios de mil pessoas cada. Para pessoas jurídicas aparecem mil empresas em cada uma das 17 categorias. O número específico de cada pasta varia.
Especialistas estimam que, no total, o hacker tem em mãos quase 1 TB de informação: 650 GB de pessoas físicas, 200 GB de pessoas jurídicas e outros 23 GB referentes às informações de veículos. Um dos dados mais assustadores de todo o vazamento, o pacote com fotos de rosto, tem cerca de 16 GB - a empresa estima que isso se refira a imagens de 1,1 milhão de pessoas.
O que fazer
O consultor jurídico da Federação do Comércio de Bens, Serviços e Turismo do Estado do Ceará (Fecomércio-CE), Hamilton Sobreira, diz que a Lei Geral de Proteção de Dados (LGPD), válida desde 2018, deve ser acionada neste caso, junto a outros instrumentos como o Código de Defesa do Consumidor e o Código Civil.
“Muita gente tá dizendo que ela só vai valer a partir de agosto, mas, na verdade, ela tá valendo. O que vai valer a partir de agosto são dois artigos que tratam sobre as punições. Mas a Autoridade Nacional de Proteção de Dados (ANPD) já existe, no site dela já tem canal de ouvidoria pra escutar as reclamações pra que ela já comece a trabalhar”, enfatiza.
A LGPD aborda o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
“A maioria dos artigos da LGPD são, como a gente diz, uma norma em branco. Ela vai precisar de complementação. E a Agência Nacional tá aí pra começar a fazer essas complementações. A LGPD tem alguns princípios, regras gerais, infrações, mas não diz como algumas coisas vão acontecer. A gente é que vai criar essas normas pra completar a lei de dados”, comenta.
Apesar de ainda não aplicar punições, a lei deve ser utilizada como base, salienta o consultor jurídico.
"Nós que fomos lesados, sofremos prejuízo, podemos entrar, independente da ANPD, utilizando já todos os artigos validos da LGPD. Os princípios da eficiência, da transparência, da finalidade. Tudo isso já me dá força pra junto com o Código de Defesa do Consumidor, junto com o Código Civil, junto com a Constituição entrar com ação de reparação de danos. Uma coisa não impede a outra”, reforça.
Ainda segundo Sobreira, cabe à Autoridade Nacional de Proteção de Dados (ANPD) e até à Polícia Federal a fiscalização para descobrir de quem é a responsabilidade pelo vazamento dos dados.