Vazamento pode ter exposto 300 mil documentos de grupo de imobiliárias do Brasil

Um grande vazamento de dados teria atingido a rede de imobiliárias Lopes, da qual fazem parte marcas como New Place, Local e VNC. No total, seriam mais de 300 mil documentos obtidos por cibercriminosos, incluindo negociações entre clientes, propostas e trocas de e-mails internos, possivelmente colocando informações pessoais e detalhes sensíveis nas mãos de terceiros não-autorizados.

• Como proteger suas informações pessoais em uma sociedade movida por dados?
• Vazamento de dados corporativos aumentou 78% em 2021; saiba como se proteger

A notícia sobre a obtenção dos dados foi enviada ao Canaltech por uma fonte anônima, que fala de um volume de 13 GB de informações que teria sido obtido a partir de uma brecha nos sistemas internos da companhia. Na amostra compartilhada com a reportagem, estão contratos de compra e venda de apartamentos, propostas de locação e termos de intenção de venda de imóveis, além de trocas e-mails.

O vazamento chama a atenção não apenas por conter dados pessoais como nomes completos, endereços, e-mails, documentação e telefones, mas também assinaturas e anotações de próprio punho. A aparição de valores propostos para aluguéis ou pagos na compra de imóveis também aumentam a superfície de exposição e a possibilidade de crimes contra os cidadãos que aparecem no volume.

A amostra visualizada pelo Canaltech traz documentos recentes, com o mais antigo sendo de agosto do ano passado e o mais recente de junho de 2022. Chama atenção, ainda, a presença de uma troca de e-mails relacionada ao processo de aluguel de um imóvel na cidade de São Paulo (SP) pelo consulado de um país norte-americano, incluindo não apenas os valores que poderiam ser pagos mas também detalhes como reformas propostas e mecanismos de segurança que seriam adicionados ao imóvel.

A fonte responsável pela denúncia à reportagem não deu detalhes sobre sua afiliação, mas afirmou que os dados não haviam sido colocados à venda nem disponibilizados na internet, pelo menos, até a primeira metade do mês de julho. Entretanto, as informações devem, sim, ser publicadas em um formato que permita a busca por informações específicas, nomes e empresas presentes no volume.

Exposição de documentos pode levar a fraudes financeiras

Nomes completos, RGs, CPFs, estado civil, e-mails, profissão e telefones celulares são os dados pessoais que estariam disponíveis no volume comprometido, que também incluiria detalhes de cônjuges e fiadores, além de corretores das empresas da rede Lopes. O que diferencia esta exposição de outras, entretanto, é a presença de assinaturas à mão, endereços de imóveis e, principalmente, valores oferecidos ou pagos em aluguéis e vendas, além de detalhes de financiamento que aparecem em contratos assinados pelas partes.

São dados mais sensíveis do que as informações pessoais, pura e simples, e por mais que o volume não pareça conter informações financeiras como cartões de crédito ou contas bancárias, fraudes dessa categoria ainda podem acontecer. O roubo de identidade, por exemplo, é uma possibilidade, assim como a falsificação de documentos e até assinaturas na obtenção de um empréstimo ou transação pelos criminosos.

A presença de tantos dados sobre uma locação ou venda de um imóvel também abre espaço para a realização de ataques envolvendo engenharia social. De posse das informações, golpistas poderiam contatar os clientes em nome da própria Lopes, financeiras ou prestadoras de serviços de reparo, por exemplo, passando dados que dariam uma aparência de legitimidade ao contato como forma de obter pagamentos, transferências ou mais informações dos cidadãos.

A notícia de que as informações não foram divulgadas publicamente é boa, ainda que carregue um caráter temporário, segundo a fonte ouvida pelo Canaltech. Até o momento em que essa reportagem é escrita, não existem informações sobre o número de pessoas afetadas, mas a ideia de que o volume contém mais de 300 mil documentos e está acima dos 13 GB de informação indica que boa parte dos clientes recentes das imobiliárias do grupo podem ter suas informações comprometidas por um vazamento, caso efetivamente aconteça.

O que diz a empresa sobre o documento

Em resposta ao Canaltech, a Lopes afirma não ter encontrado anomalias em seus sistemas, mas que está ciente quanto à circulação de documentos e e-mails que pertenceriam à sua rede de franqueados. De acordo com a empresa, medidas para reforçar a segurança dos dados já foram tomadas, enquanto ela trabalha ao lado das autoridades policiais na investigação do caso.

Confira o comunicado na íntegra:

Estão circulando e-mails e documentos que, supostamente, teriam sido extraídos da rede de franqueados da Lopes com dados de negócios imobiliários. No entanto, não foram detectadas anomalias em sistemas da Rede, e os fatos já foram levados ao conhecimento da Autoridade Policial. A Rede redobrou os cuidados com a segurança de dados, embora nenhum vazamento tenha sido identificado no banco de dados. Deixamos de fazer comentários adicionais para que as investigações não sejam negativamente afetadas. Por fim, reafirmamos que a Empresa já adotou medidas que reforçam a segurança dos dados e ainda adotará outras cabíveis no âmbito da legislação pertinente assim que concluída a investigação, a qual está avançada no âmbito da polícia especializada.

Como se proteger de golpes após o vazamento de dados

Aos clientes da companhia, ou qualquer indivíduo que fizer parte de uma exposição de informações pessoais ou sensíveis, a atenção a contatos por telefone, e-mail e mensagens de texto é a principal recomendação. Como dito, bandidos podem usar as informações em ataques envolvendo engenharia social, na tentativa de obtenção de valores ou mais dados.

Caso seja contatado por alguém que esteja se passando por uma empresa ou prestador de serviços, é importante se certificar sobre a veracidade da mensagem antes de retornar ou passar mais informações. Caso não tenha certeza absoluta sobre a legitimidade da conversa, procure serviços oficiais de atendimento, eles saberão informar se a solicitação é, efetivamente, real.

Em todos os casos, o ideal é evitar clicar em links ou baixar arquivos anexos. Manter sistemas operacionais atualizados e softwares de segurança instalados no computador e celular também ajudam a evitar ataques que envolvam a instalação de vírus que podem tentar furtar os dados presentes nos dispositivos.