Dois vazamentos de dados como RGs, CPFs e CNHs de brasileiros foram feitos em um fórum na internet. Cerca de 13 mil imagens de documentos estão em um arquivo de 1,2 gigabyte (GB), posto à venda, enquanto uma "amostra grátis" traz informações de 2,5 milhões de pessoas. As informações são do UOL Tilt.
O material foi ofertado por US$ 300, o que equivale a R$ 1.516. Segundo a empresa de cibersegurança Syhunt, o autor do crime afirma possuir dados de 227 milhões de brasileiros. A companhia monitora ações do tipo desde vazamento de dados ocorrido em janeiro.
Entre as informações, há nomes completos, datas de nascimento, CPFs, sexo, endereços de residências e nomes de mães de pessoas vivas ou já mortas.
Parte dos dados expostos já esteve à venda em vazamentos anteriores. No entanto, conforme a Syhunt, essa é a primeira vez em que alguém consegue vazar nome das mães de pessoas gratuitamente. "É um dado valioso por ser frequentemente solicitado em etapas de validação de serviços online", apontou a empresa em relatório.
A companhia não sabe informar quando os usuários conseguiram as imagens. As publicações do criminoso, porém, dão indícios que os dados foram obtidos por meio de um servidor do Detran/DF e têm a data máxima de 2019. Ao todo, a base completa tem 37,7 GB.
Indícios de que os hackers tentaram extorquir alguma empresa — o que caracterizaria um "ramsomware" — não foram encontrados.
Ação grave
O fundador da Syhunt, Felipe Daragon, classificou o assunto como grave à publicação. "Era previsível que isso fosse acontecer. Vazou tanta informação no começo do ano que faltava a cereja do bolo, que são assinaturas e fotos de documentos das pessoas", afirmou, advertindo que o ocorrido foi só o começo: "A tendência é esse número aumentar".
O especialista se preocupa com o número ser uma amostra de uma banco ainda maior em posse dos cibercriminosos. "Não dá pra saber se é só a ponta do iceberg, isso virou um problema global", frisa. Não há como saber quais são os documentos expostos nos vazamentos.
Negócio lucrativo
Dados do tipo se tornaram valiosos, já que possibilitam a aplicação de golpes. Criminosos, usando informações de uma pessoa, podem abrir contas e criar linhas de créditos com elas em nome de terceiros.
Aplicativos de bancos, por exemplo, pedem, além de dados básicos, fotos da pessoa segurando o seu documento como prova de autenticidade. Apesar disso, os sistemas atuais contêm falhas, conforme Eduardo Schultze, líder de Threat Intelligence da empresa de cibersegurança Axur.
"O mais indicado que é a selfie com o documento seja tirada na hora e não que a pessoa possa fazer upload de uma foto do celular", pontua, indicando que os uploads são perigosos porque qualquer pessoa pode subir uma foto. "Então pode ser usada uma foto de um terceiro, podem ser usados dados de outras pessoas".
Além disso, aplicativos como o Mercado Livre têm exigido fotos para conclusão de compras, o que pode colocar dados pessoas dos clientes em risco.
"A exigência de foto do RG é desproporcional e desnecessária para realização de cadastro e viola os princípios da finalidade, adequação e necessidade da Lei Geral de Proteção de Dados", diz Luã Cruz, pesquisador do programa de direitos digitais do Instituto Brasileiro de Defesa do Consumidor (Idec).
O especialista avalia a exigência de mais dados que o necessário como "extremamente perigosa" na execução de um serviço. Isso porque, nesse caso, são criadas bases de dados que podem ou ser vazadas, ou utilizadas com outras finalidades.
O diretor do Instituto de Tecnologia e Sociedade (ITS Rio), Carlos Affonso de Souza, alerta que eventuais estragos são imprevisíveis, já que os vazamentos são "porteira aberta" para fraudes. "Se todo mundo tiver acesso a todos os nossos dados pessoais, essas pessoas podem se passar por nós, podem contrair empréstimos, se comunicar com pessoas próximas e elas não vão saber", ressalta.
Como se proteger de vazamentos de dados
- Mantenha seu antivírus atualizado;
- Não clique em links suspeitos ou de procedência desconhecida;
- Troque suas senhas frequentemente;
- Crie senhas seguras;
- Reavalie contas que você não usa mais em sites e fintechs;
- Acione a Lei Geral de Proteção de Dados (LGPD) para remoção de seus dados da base das empresas.