Vazamento expôs dados de 220 milhões de brasileiros; saiba o que fazer
O laboratório de pesquisa de segurança da empresa PSafe (desenvolvedora de aplicativos de segurança para celulares) afirmou recentemente que dados de 220 milhões de Cadastro de Pessoas Físicas (CPF) foram vazados no Brasil, o que corresponderia a um número maior do que a própria população brasileira (atualmente, o País é composto de 211,8 milhões de habitantes).
Além disso, o Tribunal de Contas da União (TCU) verificou, em uma auditoria feita em 2020, que o Brasil tem 12,5 milhões de CPF ativos a mais do que a população total, ou seja, há a possibilidade de que os dados de toda a população tenham sido vazados.
Diversos tipos de dados pessoais teriam sido expostos indevidamente, desde o CPF de uma pessoa até a cor e o modelo do carro pertencente a esse mesmo indivíduo. As empresas não escaparam do vazamento e mais de 40 milhões tiveram seus dados expostos.
“Esses dados são muito importantes, pois permitem a realização de uma série de transações financeiras, além do acesso a uma série de serviços de cobranças”, comenta Roberto Augusto Pfeiffer, professor do Departamento de Direito Comercial da Faculdade de Direito da USP. Pfeiffer reforça que cabe às empresas se organizarem para ter sistemas seguros, para que esses dados não sejam acessados e para que não ocorram fraudes.
Em entrevista ao Jornal da USP no Ar 1ª Edição, o professor detalha que esses dados podem ser vendidos para empresas de telemarketing ou mesmo empresas que anunciam produtos e para a dark web, no intuito de fazer falsas aquisições com o nome de uma pessoa.
“Esses dados acabam tendo um valor bem alto, principalmente quando ocorre o cruzamento desses dados, em que é possível cruzar o CPF com o seu domicílio, com bens que a pessoa possui”, explica Pfeiffer.
Juridicamente, Pfeiffer reforça que as pessoas devem prestar atenção em dois pontos. O primeiro seria com relação ao próprio vazamento e à empresa que detém aqueles dados, pois configura falha na prestação da empresa detentora, ou seja, falha no dever de guarda.
No caso do vazamento citado aqui, ainda não foi descoberta a fonte do vazamento, apesar de inicialmente acreditarem em uma exposição vinda diretamente da Receita Federal. O segundo ponto seria a própria pessoa que hackeou as informações.
A Lei Geral de Proteção de Dados e o Marco Civil da Internet protegem juridicamente as pessoas que sofreram com a exposição, podendo, inclusive, ser indenizadas.
Cuidado com sites que surgem após vazamentos
Depois do vazamento, surgiram alguns sites que afirmam poder confirmar se seus dados foram vazados. Mas você conhece esses sites? Tem ideia da origem deles? Especialistas de segurança alertam para tais páginas. Desconfie de soluções prontas, que podem na verdade aumentar sua exposição aos criminosos digitais.
OAB pede investigação do vazamento de dados de 220 milhões de pessoas
A Ordem dos Advogados do Brasil (OAB) pediu que a Autoridade Nacional de Proteção de Dados (ANPD) investigue o vazamento de dados de mais de 220 milhões de brasileiros. As informações foram disponibilizadas para venda na internet, e o episódio foi noticiado em veículos de comunicação.
No ofício enviado à ANPD, a Ordem dos Advogados manifesta preocupação com o vazamento, que compreende uma base de CPFs em número superior ao da população brasileira. São 37 bases de dados que abarcam nome, endereço, foto, score de crédito, renda, situação na Receita Federal e Instituto Nacional do Seguro Social (INSS). Parte dos dados, como nome e CPF, foi publicada na internet gratuitamente. Já o conjunto completo dos registros está sendo vendido em fóruns da rede.
“O ocorrido submete praticamente toda a população brasileira a um cenário de grave risco pessoal e irreparável violação à privacidade e precisa ser investigado a fundo pelas autoridades competentes, em particular por essa agência”, destaca o ofício da OAB.
A Ordem dos Advogados ressalta que não houve notícia sobre medidas adotadas pela Autoridade Nacional de Proteção de Dados sobre o incidente. O ofício lembra que a Lei Geral de Proteção de Dados (No 13.709 de 2018) atribui à ANPD a responsabilidade de fiscalizar agente de tratamento, inclusive por meio de auditorias, e pede que o órgão tome providências.
Segundo a presidente da Comissão de Proteção de Dados da Ordem dos Advogados do Brasil – Seção Rio de Janeiro, Estela Aranha, este pode ser o maior vazamento de dados da história do país, não somente em número de pessoas mas também na diversidade de informações.
Estela diz que a primeira tarefa é investigar como o vazamento ocorreu e quem está por trás dele para responsabilizar o controlador do banco de dados. Ela acrescenta que, emergencialmente, é preciso ter também um plano de contingência, com as medidas que precisam ser tomadas para reduzir os riscos para as pessoas cujas informações foram vazadas ou colocadas à venda.
“A primeira é informar amplamente os titulares dos dados sobre os riscos envolvidos e quais medidas podem ser tomadas para mitigar possíveis danos. Outra é que deve recair sobre o controlador dos dados a responsabilidade por tais medidas”, explica a advogada.
Segundo Estela, nos Estados Unidos, houve um episódio de grande vazamento da empresa Equifax que terminou com um acordo para a criação de um fundo de US$ 420 milhões direcionados ao ressarcimento das perdas das vítimas.
Como a Autoridade Nacional de Proteção de Dados foi efetivamente instituída há alguns meses, Estela Aranha defende a busca de parceria desta com outras instituições, como a Polícia Federal e a Secretaria Nacional do Consumidor, do Ministério da Justiça.
Origem
Não há comprovação de onde os dados teriam saído. Para o diretor da Associação Data Privacy Brasil, Rafael Zanatta, ou o responsável reuniu todas essas informações, ou elas foram obtidas de alguma base.
Há uma suspeita de que tais informações poderiam ter vindo da Serasa Experian, que trabalha com análise de crédito. A hipótese foi motivada pelo fato de terem sido encontradas semelhanças entre os dados vazados e os usados pela empresa. A Serasa negou que os dados tenham vazado de sua base.
Para Zanatta, a prioridade agora é investigar a origem para avaliar as formas de responsabilização de quem está por trás do vazamento, partindo dos indícios já existentes. Ele entende que seria necessário “delimitar, por meio de auditoria da ANPD, os servidores da Serasa e as bases [vazadas] para responder qual o grau de similitude”.
Zanatta explica que, no caso das pessoas que tiveram dados vazados ou comercializados, ainda não há nada que possa ser feito enquanto não forem encontrados os responsáveis, mas argumenta que é para além da ANPD e que outros entes públicos, como o Congresso Nacional, podem debater medidas para mitigar os efeitos do vazamento e evitar novos incidentes como este.
ANPD
Em nota à Agência Brasil, a Autoridade Nacional de Proteção de Dados respondeu que, desde que tomou conhecimento do incidente, “destacou todo seu quadro técnico para analisar, com base na LGPD, os aspectos que cercam o ocorrido”.
A autoridade diz que já recebeu informações do Serasa e oficiou a Polícia Federal, a empresa Psafe, que encontrou o vazamento, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República.
Senacon
A Secretaria Nacional do Consumidor (Senacon) instaurou procedimento para averiguação do caso. A Serasa Experian foi notificada para informar se os dados saíram de sua base ,ou de operadoras que tratam informações a seu mando, e por quanto tempo os dados ficaram expostos.
No inquérito, a Senacon quer saber também quem teve acesso aos dados vazados, quais informações foram acessadas e que medidas foram adotadas para melhorar a segurança e proteção da informação destes indivíduos. A Senacom deu 15 dias para que a Serasa respondesse aos questionamentos.
Receita Federal divulga nota de esclarecimento
Sobre as matérias veiculadas na imprensa referente ao vazamento de dados pessoais de brasileiros, incluindo o Cadastro da Pessoa Física (CPF), a Receita Federal informa que não houve vazamento de sua base de dados, e se colocou à disposição das autoridades para auxiliar no esclarecimento dos fatos se necessário.
Cada inscrito no CPF recebe um único número de inscrição, inalterável a não ser por decisão judicial ou administrativa. Não há necessidade do cidadão se dirigir a qualquer unidade da Receita Federal por conta do suposto vazamento de seu número de inscrição.
Quando associado com outros dados pessoais vazados, o número do CPF pode auxiliar na prática de fraudes. Nesses casos, recomenda-se que a população fique atenta para tentativas de criminosos de se passarem por elas mesmas ou pessoas conhecidas em busca de outros dados e senhas, através da prática conhecida como phishing.
A Receita Federal reforça que não envia e-mails, SMS ou mensagens em quaisquer redes sociais solicitando informações sigilosas ou pedindo que se clique em links suspeitos. Os serviços à distância prestados pelo órgão são realizados exclusivamente pelo Centro Virtual de Atendimento ao Contribuinte (Portal e-Cac), acessível pelo site gov.br/receitafederal, ou pelos aplicativos móveis oficiais da Receita Federal. No ano passado, foram prestados mais 250 milhões de serviços virtualmente, além de mais de 5 milhões de atendimento presenciais nas unidades do órgão.
Fonte: Jornal da USP / Agência Brasil / Receita Federal