Por Antonio Magalhães*
É bom deixar de lado muitas preocupações inúteis para focar no que está acontecendo no mundo da Internet aqui no Brasil depois de um recente vazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos entre 2008 e 2020, incluindo de pessoas já falecidas. No entender de especialistas em segurança cibernética é o maior e o mais abrangente crime cibernético, com poder de gerar ações criminosas de roubos de identidades.
Os dados vazados, que tratam de informações detalhadas como documentos pessoais, conta bancária, escolaridade, título de eleitor, Imposto de Renda e até biometria facial, podem ser usados para crimes diversos: de compras com cartão de crédito a até formação de dívidas e venda de patrimônio com o nome das vítimas.
Sobre o crime, o professor e especialista em segurança da informação, Edison Fontes, ex-Banorte e hoje atuando em São Paulo, disse que “as notícias indicam que são dados da Serasa Experian em função de características de tipos de dados que coincidem com serviços prestados pela Serasa. A Serasa nega. Mas não basta negar”.
Segundo Fontes, pela Lei Geral de Proteção de Dados (LGPD) o ônus da prova é da empresa. “Entendo que é simples. Basta pegar uma amostra e bater com os dados da Serasa da época, que, segundo informações, são de agosto de 2019. Se não for da Serasa é de alguma empresa de proteção de crédito”.
Segundo o G1, são dois vazamentos separados. Um deles, que contém os dados dos veículos e informações limitadas de cada número do CPF, está em livre circulação na internet e disponível para download – basta conhecer um link ativo.
O outro vazamento, muito mais abrangente, está com distribuição mais limitada. Esse pacote inclui dados de escolaridade, benefícios do INSS e programas sociais (como o Bolsa Família), renda e score de crédito (que estima se uma pessoa é um bom pagador).
Os criminosos estão tentando vender os dados nesse pacote, e a oferta não cobre a integralidade dos dados – só é possível comprar trechos.
Representante da empresa de segurança da informação Psafe, que revelou o vazamento, diz ter entrado em contato com o hacker para atestar a qualidade das informações e recebeu uma amostra mais enxuta do material completo, os dados estão à venda na deep web (“internet profunda”, em tradução livre, local em que indexadores como Google e Bing não registram os materiais publicados) por 100 dólares por cada mil registros individuais.
Para o professor Edison Fontes,“este fato tem que ser investigado, os responsáveis punidos e todos os Titulares de Dados Pessoais ou Empresariais devem receber uma satisfação. A Autoridade Nacional de Proteção de Dados (ANPD) não pode multar, mas pode exigir o cumprimento dos controles da lei”.
Segundo Fontes, “órgãos de defesa do consumidor já estão se movimentando. E o Ministério Público do Distrito Federal, a instituição mais aparelhada do País para combater esses crimes, está tomando medidas cabíveis. Além disso, os que tiveram seus dados roubados, caso sejam prejudicados, podem exigir indenização por negligência com a guarda de dados pessoais”, explicou Fontes.
“Mas que fique uma lição para todas as empresas: é necessário ter segurança da informação adequada ao seu negócio e ao seu porte, possibilitando a conformidade com a LGPD. E aviso aos navegantes: a LGPD está em vigor e os gestores das empresas são responsáveis perante à lei”, concluiu.
Já a Autoridade Nacional de Proteção de Dados, criada pela LGPD, informou burocraticamente, oito dias depois da divulgação do vazamento, que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes e oficiará para apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação”.
Portanto, com tantos dados disponíveis na mão de criminosos as pessoas devem ficar atentas com as tentativas de fraudes com suas informações, recomenda o G1. Não confie em e-mails ou contatos inesperados. Se uma mensagem vem com seu nome, CPF ou outros dados pessoais, isso não significa que ela é legítima. Caso tenha dúvida sobre a legitimidade de um e-mail, procure o telefone de contato da instituição e ligue para o serviço de atendimento. É isso.
*Integrante da Cooperativa de Jornalistas de Pernambuco