PUBLICIDADE
Topo

Vazamento de dados de 220 milhões de pessoas: o que sabemos e quão grave é

Estúdio Rebimboca/UOL
Imagem: Estúdio Rebimboca/UOL

Hygino Vasconcellos

Colaboração para Tilt, em Chapecó (SC)

28/01/2021 04h00Atualizada em 02/02/2021 16h52

Sem tempo, irmão

  • Não se sabe ainda a origem do vazamento; há suspeitas de que diferentes bases de dados tenham sido cruzadas
  • Serasa Experian aparece como suspeita de ter tido informações acessadas; companhia nega
  • Vazamento lembra o da empresa norte-americana Equifax, que foi um dos maiores já ocorridos nos EUA

O vazamento de dados pessoais de 220 milhões de brasileiros colocou em alerta o setor da segurança da informação na semana passada. Ainda há poucas informações sobre a origem das informações —a Tilt, especialistas descartam ter sido de uma fonte única pelo grande volume de informações reunidas.

Na lista de informações vazadas estão CPF, salário, escore de crédito —consultado por lojas quando o consumidor faz compras—, cheques sem fundos e números de telefone, entre outros. Há ainda dados de 104 milhões de veículos, de placas até o tipo de combustível usado, segundo a PSafe, uma das empresas que identificou o vazamento. É provável que o banco tenha incluído dados de pessoas já falecidas.

Qual é o risco real para a população?

Alto, segundo especialistas, devido ao número de informações reunidas. Com CPF, nome completo, data de nascimento e telefone um golpista já pode obter um cartão de crédito fingindo ser você, por exemplo. "Tem milhões de coisas que se pode fazer. De cometer crimes no seu nome até invadir a vida privada", diz Andrea Willemin, advogada com experiência em proteção de dados.

A recomendação é, a partir de agora, acompanhar rotineiramente extratos bancários e do cartão de crédito, salienta a professora de redes da PUC-RS (Pontifícia Universidade Católica do Rio Grande do Sul) Cristina Moreira Nunes. Outra dica de Alexandre Bonatti, diretor de Engenharia da empresa de cibersegurança Fortinet, é estranhar consultas atípicas no CPF que não foram solicitadas.

Qual a origem?

Em uma reportagem do site "Tecnoblog", uma suspeita da origem é a empresa de análise de crédito Serasa Experian. Entre os indícios dessa tese estão o escore de crédito e a base de dados Mosaic, que classifica os consumidores em 11 grupos e 40 segmentos e é usada pelo Serasa. Mas a empresa nega ser a fonte (veja abaixo).

Uma das hipóteses levantadas é que o banco de dados foi construído aos poucos, com cruzamento de informações de origens diversas.

É o que defende o engenheiro de sistemas e computação e professor da UFRGS (Universidade Federal do Rio Grande do Sul) Edison Pignaton de Freitas. "É difícil imaginar que uma única instituição tivesse acesso a tanta informação", observa.

O pesquisador acredita que inicialmente foi obtido um banco de dados "mais simples", com indicação do nome, endereço e até mesmo CPF dos brasileiros, por exemplo. E, na sequência, novas informações foram incorporadas. Técnicas avançadas de computação podem ter cruzado bases de dados diferentes.

A fase de "engorde" pode ter contado com informações de órgãos do governo federal, a partir de invasão de sistemas. O doutor em segurança da informação e professor da UFSM (Universidade Federal de Santa Maria) Walter Priesnitz Filho observa que há dados restritos, como a restituição do imposto de renda, que só podem ser obtidas com a Receita Federal.

Já o detalhamento de mais de 100 milhões veículos pode ter partido, diz ele, de uma fonte governamental, como dos Detrans (Departamento Estadual de Trânsito), espalhados pelo país.

O acesso aos dados governamentais —e também de empresas— pode ter ocorrido após hackers terem identificado fragilidades nos sistemas, segundo o professor de ciência da computação do Insper (Instituto de Ensino e Pesquisa) Rodolfo Avelino. "Essas pessoas possuem ferramentas automatizadas que são muito eficientes em detectar esse tipo de fragilidade no ambiente", explica.

Para o professor do Insper, a ampla migração de sistemas do ambiente físico para servidores em nuvem facilitou a vida dos hackers nesse tipo de trabalho. O uso da nuvem não é um problema, mas sim a forma como é administrada. "Existem ferramentas que permitem ao máximo fazer esse controle (de acesso). Mas nem todos os funcionários estão familiarizados com essas ferramentas", diz Avelino.

LGPD fixa multa em R$ 50 milhões

Com a LGPD (Lei Geral de Proteção de Dados), qualquer empresa que incluir em sua base informações de seus clientes, por mais básicas que sejam —como nome e email—, deve garantir a integridade dos dados.

Em caso de vazamento, a legislação fixa, entre outras coisas, multa de até 2% do faturamento com limite de até R$ 50 milhões. Mas a cobrança só pode ocorrer a partir de agosto de 2021, após pedido das empresas. A LGPD é fiscalizada pela ANPD (Autoridade Nacional de Proteção de Dados), ligada à presidência da República.

Entre as medidas a serem adotadas, a criptografia das informações é uma das mais importantes. No caso deste vazamento, a falta de criptografia chamou a atenção de Willemin.

"Com a nova LGPD as empresas que administram dados são obrigadas a ter informações no mínimo criptografadas. Os dados já deveriam ter sido criptografados, não pode hoje mais ter esse tipo de informação", diz.

O vazamento se aproxima do que aconteceu nos Estados Unidos, em 2017. Na época, a agência de crédito Equifax admitiu que hackers tinham roubado de seu sistema dados como nomes, datas de nascimento e números de Previdência Social de praticamente metade da população do país. O incidente também afetou clientes do Canadá e do Reino Unido —145 milhões de pessoas foram afetadas.

A empresa teve que assinar um acordo e terá que pagar U$S 700 milhões (R$ 3,7 bilhões). Foi necessário que a Equifax montasse uma central de atendimento para os lesados, que deve ficar em operação até este ano.

Outro lado

A Serasa encaminhou duas notas à reportagem. Na primeira, a empresa diz que uma análise interna concluiu que não é a fonte dos dados. "Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Serasa Score é carregado, nem com o Mosaic."

Na segunda nota, classificou como "alegação infundada" a sugestão de que é a origem dos dados. "Também não vemos evidências de que nossos sistemas tenham sido comprometidos." Em seguida, a empresa afirmou que está monitorando a situação "ativamente" e em contato com os órgãos reguladores.

A Receita Federal disse à reportagem que não houve vazamento de sua base de dados, e que se colocou à disposição das autoridades para esclarecer o caso.

A ANPD (Autoridade Nacional de Proteção de Dados) informou em nota que está "apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes" para descobrir a origem e forma do vazamento, além de medidas de contenção e suas possíveis consequências.

Tilt procurou o Denatran (Departamento Nacional de Trânsito) mas não obteve retorno.

Colaborou com a reportagem Rafael Zanatta, diretor da Data Privacy Brasil