Exclusivo: os detalhes do vazamento sobre 100 milhões de veículos no BrasilEspecialistas alertam para riscos após vazamento que expôs 220 milhões de brasileiros
Dois vazamentos de dados
Temos aqui dois casos distintos, mas relacionados. O primeiro vazamento inclui somente nome completo, CPF, data de nascimento e gênero: ele está disponível para download gratuito em um fórum bastante conhecido por divulgar esse tipo de informação. O arquivo de 14 GB possui dados de 223,74 milhões de CPFs distintos, e aparentemente foi compilado em agosto de 2019. Ele está disponível na internet aberta, não na dark web: o link até foi indexado pela busca do Google. O número de pessoas afetadas é maior do que a população brasileira porque a base de dados também inclui falecidos. Por sua vez, o segundo vazamento traz informações dos mesmos 223,74 milhões de pessoas e também teria sido compilado em agosto de 2019. Ele foi divulgado pelo mesmo usuário no fórum, e inclui os CPFs na mesma ordem, como ilustra a imagem abaixo: Neste caso, só a prévia está disponível de graça: quem quiser o pacote completo tem que gastar dinheiro. Os preços variam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade comprada. O pagamento é feito somente em bitcoin. No total, são 37 bases que incluem todo tipo de dado pessoal, incluindo RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre muitos outros.
Vazamento veio da Serasa Experian?
O vazamento maior é intitulado “Serasa Experian”, e existem alguns indícios de que estes dados podem estar relacionados à empresa:
uma das bases traz dados do Mosaic, serviço da Serasa Experian que classifica os consumidores em 11 grupos e 40 segmentos, a fim de fazer anúncios segmentados e prospecção de clientes;outras duas bases possuem informações sobre modelos de afinidade e propensão, algo que também é oferecido pela Serasa, a chance de que uma pessoa tem de comprar determinado produto ou serviço como seguro, previdência privada, cartão de crédito, jogos, viagens, artigos de luxo, entre outros;há ainda uma lista de scores de crédito, produto pelo qual a Serasa é mais conhecida.
Em comunicado ao Tecnoblog, a Serasa Experian diz: “estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web; conduzimos uma investigação e neste momento não vemos nada que indique que a Serasa seja a fonte”. Um novo posicionamento da Serasa afirma o seguinte:
E a LGPD?
A LGPD (Lei Geral de Proteção de Dados Pessoais), que está valendo desde setembro de 2020, prevê sanções que vão desde uma advertência até uma multa de 2% sobre o faturamento anual até o máximo de R$ 50 milhões. No entanto, as punições só devem ser aplicadas a partir de agosto de 2021. Isso ficará a cargo da ANPD (Autoridade Nacional de Proteção de Dados), que ainda está definindo seus principais cargos técnicos.
O que foi exposto no vazamento de 220 milhões
O Tecnoblog contou com a ajuda do DataBreaches.net para descobrir os detalhes deste conjunto de dados, que está à venda na internet desde a semana passada. Reunimos abaixo as principais informações que constam no vazamento maior:
básico: nome, CPF, gênero, data de nascimento, nome do pai, nome da mãeestado civil (casado, solteiro, divorciado, viúvo, outros)vínculo familiar: categoriza pessoas de acordo com vínculo de 1º grau (mãe, pai, filho, filha, irmão, irmã, cônjuge) ou 2º grau (avô, neto, tio, sobrinho, primo etc.)e-mailtelefone: DDD, número, operadora, plano, tipo de linha (fixa, pré-paga, pós-paga), data de instalaçãoendereço: logradouro, número, bairro, cidade, estado, CEP, tipo (residencial / comercial), latitude e longitudedomicílios: CPF do chefe de família, número de pessoas, faixa de renda, endereço completoescolaridade: nível (analfabeto / fundamental / técnico / superior etc.)universitários: 1.643.105 pessoas com nome da faculdade, curso, ano de entrada e ano de conclusãoocupação: cargo, número CBO (Classificação Brasileira de Ocupações)emprego: CNPJ e razão social do empregador, número do PIS/PASEP/NIT, número do CTPS, tipo de vínculo (CLT, autônomo, servidor, aprendiz etc.), data de admissão, salário, horas de trabalho por semanasalário: valor, tipo (mensal, quinzenal, semanal etc.), horas por semanarenda: valor mensal (inclui salário, aluguéis, recebimento de juros etc.), classe social (baixa, média, alta), faixa de rendaclasse social (A1, A2, B1, B2, C1, C2, D, E)poder aquisitivo: nível (baixo, médio, alto), renda, salárioBolsa Família: valor, situação do benefício (liberado / bloqueado), status do benefício (ativo / inativo), número e nome dos dependentes, NIS (Número de Identificação Social)título de eleitor: número de inscrição, zona, seção, endereço, município, estadoRGFGTS: número do PISCNS (Cartão Nacional de Saúde)NIS (Número de Identificação Social)PIS/PASEPINSS: nome do segurado, número do benefício, data de início, espécie (aposentadoria, pensão, salário-maternidade etc.)IRPF (imposto de renda): nome da instituição bancária, código da agência, lote de restituiçãoReceita Federal: situação cadastral (regular / suspensa / cancelada / titular falecido)score de crédito: atividade de crédito, score de risco, nível de risco (baixo / médio / alto)devedores: nome, tipo do devedor (principal, corresponsável), situação (ativa, em cobrança, ajuizada), tipo de dívida (multa, imposto de renda, PIS etc.), valor, foi parar na Justiça? (sim / não)cheques sem fundos: código e agência do banco, motivo (sem fundos / conta encerrada)Mosaic: grupo e subgrupo de segmentaçãoafinidade: nível de precisão, percentilmodelo analítico: prevê chance de consumidor ter afinidade para comprar um produto ou serviçofotos de rostos: 1.176.157 imagens JPEG com datas entre 2012 e 2020; o nome de arquivo é o CPF da pessoa correspondenteLinkedIn: 5.051.553 perfis da rede social com número ID e URL de acessoempresarial: nome do sócio de uma empresa, participação (ações e %), razão social e nome fantasia da empresa, CNPJ, data de entrada na sociedadeservidores públicos: descrição do cargo, lotação, exercício, renda bruta, estado, vínculo, afastamento (sim / não)conselhos: 2.260.960 pessoas que prestam consultoria no âmbito público ou privado, incluindo situação, especialidade e código de ocupaçãoóbitos: data de falecimento, idade, data da certidão de óbito, nome e endereço do cartório
Atualizado em 25/01 com novo posicionamento da Serasa
