Site público expõe dados pessoais de 109 milhões de brasileiros

Dados como CPF, CNPJ, endereço e contratos telefônicos de mais de 109 milhões de brasileiros estão disponíveis publicamente em uma página da internet, alerta a empresa de segurança virtual PSafe.

• Operadora T-Mobile confirma vazamento dos dados de 100 milhões de clientes
• Golpe do boleto volta repaginado usando dados coletados em megavazamentos
• Eletropaulo é condenada a indenizar cliente de 80 anos por vazamento de dados

O site foi descoberto pelo dfndr lab, laboratório especializado em segurança digital da PSafe, a partir da ferramenta dfndr enterprise, que utiliza Inteligência Artificial (IA) para identificar possíveis vazamentos de dados, a partir de varreduras constantes tanto na internet comum quanto na deep web e na dark web.

O site foi encontrado em 19 de setembro, e desde então está sendo analisado pelo dfndr lab. Segundo os pesquisadores, a página disponibiliza para consulta dados como nome, CPF, endereço, gênero, data de nascimento, e-mail e até renda.

A página também permite que usuários consultem informações referentes a contratos com empresas de telefonia e TV por assinatura, como número de telefone fixo e móvel, tipo de plano contratado, data de contratação, número de contrato e forma de pagamento. Segundo a PSafe, qualquer pessoa com internet pode acessar o endereço e consultar os dados, sem nenhum tipo de bloqueio ou credencial.

A PSafe disponibilizou uma lista de pontos que a população deve prestar mais atenção durante os próximos meses, por conta dos dados disponibilizados na página:

• Ficar atento se há contratação de serviços e empréstimos desconhecidos em seu nome;
• Trocar frequentemente suas senhas e criar um segundo fator de autenticação;
• Não clicar em links suspeitos que tenham sido encaminhados em seu telefone ou e-mail;
• Não abrir e-mail de destinatários desconhecidos;
• Instalar uma solução de proteção em seu dispositivo;
• Desconfiar de cobranças ou avisos que chegarem por meios digitais ou físicos.

A PSafe afirma já ter elaborado e enviado um relatório sobre a página para a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização da Lei Geral de Proteção de Dados (LGPD).

O site é mais um capítulo de um 2021 complicado em termos de segurança de dados para o povo brasileiro. Em janeiro, pesquisadores do dfndr lab identificaram um vazamento que expôs o CPF de boa parte da população. Em fevereiro, mais 102 milhões de brasileiros, incluindo o Presidente Jair Bolsonaro, tiveram informações como registros de linhas telefônicas e endereços comercializados em fórums na dark web. Por fim, em julho, RGs, CPFs e carteiras de habilitação de um total de 227 milhões de usuários nacionais foram colocados a venda por criminosos, também em fórums.

Perigos de dados expostos

Com tantos dados sensíveis disponíveis publicamente, Emilio Simoni, executivo-chefe de segurança da PSafe, alerta para o risco de novos golpes: “Estamos falando de uma super base, provavelmente enriquecida a partir do compilado de outros possíveis vazamentos. Nas mãos dos cibercriminosos, esses dados são um ‘prato cheio’ para a aplicação de golpes de engenharia social, que é quando os golpistas utilizam essas informações para enganar as vítimas a tomar uma ação que irá prejudicá-la. Sabendo que esses dados estão disponíveis gratuitamente na Internet aberta, precisamos alertar a população para desconfiar ainda mais de telefonemas e mensagens que utilizem essas informações para conquistar a sua confiança”, explica.

Simoni também alerta que, nas mãos de criminosos, essas informações podem gerar situações de risco para a população. O executivo recomenda que as pessoas fiquem atentas às suas contas bancárias e em qualquer atividade fora do comum nelas, desde acessos não autorizados até empréstimos. Ele conclui que, com esses dados, criminosos podem abrir até mesmo empresas e contas falsas para aplicação de golpes, tudo no nome de pessoas que foram afetadas pelas informações do site.

Pesquisadores da PSafe dizem que, até o momento, não é possível afirmar se houve realmente algum vazamento de dados para a criação deste site, mas apontam que existem indicativos na própria base que os dados podem ser provenientes de registros de operadoras de telecomunicação.

O Canaltech entrou em contato com as assessorias de imprensa da Vivo, Tim, Claro e Oi para saber se as empresas têm ciência do site e se os dados contidos nele podem ter origem em algum vazamento de registros que elas possam ter sofrido. Até a publicação desta matéria, nenhuma das companhias citadas responderam à solicitação.