223 milhões de pessoas tiveram CPF e dados vazados

De acordo com o dfndr lab, laboratório especializado em segurança digital da startup PSafe, 223 milhões de pessoas tiveram CPF e outros dados vazados em todo o Brasil. Os dados estão nas mãos de criminosos digitais e estão sendo colocados à venda.

Segundo a empresa que detectou o ocorrido, são dois vazamentos simultâneos que podem colocar a esmagadora quantidade de pessoas do país em risco. A alta quantidade, superior a população brasileira, indica que há informações até de quem já faleceu. Este pode ser um dos maiores vazamentos da História do país.

Vazamento 1: CPF

Um pacote contendo o CPF de quase todos os brasileiros foi obtido e está sendo vendido por meio de um arquivo de 14 GB. Além do número do documento, consta o gênero, a data de nascimento das pessoas e veículos automotores cadastrados no país.

A divulgação foi tão grande que é possível encontrar links na internet para fazer o download do arquivo contendo todos os dados relativos ao documento. Só há dados até o ano de 2019, ou seja, quem nasceu em 2020 não foi prejudicado.

No caso dos veículos, há uma tabela de 23 GB que associa o dono ao carro. No entanto, os dados só vão até 2007.

Vazamento 2: CPF e outros dados

O segundo vazamento é ainda mais nocivo, pois contém o CPF de 223 milhões pessoas e outros dados como escolaridade, renda, score de crédito (avaliação se uma pessoa é boa pagadora), benefícios do INSS e programas sociais como o Bolsa Família que recentemente liberou seu calendário completo.

Neste caso, a distribuição está limitada, não sendo possível achar os dados com facilidade na internet. Além disso, os criminosos estão vendendo o vazamento por partes, sendo preciso obter vários pacotes para conseguir a íntegra dos dados.

Um arquivo de exemplo, para provar que as informações roubadas são verdadeiras, foi divulgado contendo os dados de pelo menos mil pessoas.

Lista do que vazou

Confira abaixo tudo o que vazou, ressaltando que nem todas as pessoas tiveram todos os dados obtidos:

• Nome completo;
• RG;
• CPF;
• Título de eleitor;
• INSS (dados gerais);
• IRPF (imposto de renda);
• Gênero;
• Data de nascimento;
• Nome do pai e da mãe;
• Estado civil;
• Vínculo familiar;
• E-mail;
• Telefone (com plano, tipo de linha e operadora);
• Endereço completo;
• Detalhes sobre o domicílio (quantidade de pessoas, faixa de renda);
• Escolaridade;
• Estudantes universitários (faculdade, curso e outros detalhes);
• Ocupação e emprego;
• Número do PIS, CTPS e mais detalhes do trabalhador;
• Salários e renda;
• Classe social;
• Poder aquisitivo;
• Ocupação e emprego;
• Bolsa Família (valor, situação do benefício, entre outros);
• NIS (Número de Identificação Social);
• FGTS;
• CNS (Cartão Nacional de Saúde);
• Outros dados da Receita Federal;
• Score de crédito;
• Lista de devedores (nomes, tipo de dívida, valores, etc.);
• Cheques sem fundos;
• Mosaic (grupo e subgrupo de segmentação);
• Afinidade (nível de precisão, percentil);
• Modelo analítico de afinidade;
• Fotos com o CPF correspondente;
• LinkedIn (perfis);
• Dados de empresas (razão social, sócios, entre outros);
• Dados de servidores públicos;
• Dados de conselhos;
• Dados de óbitos.

Fonte primária não foi divulgada

Os criminosos não divulgaram qual foi a fonte primária dos vazamentos que proporcionaram os pacotes que estão sendo vendidos. Geralmente, para dar credibilidade aos dados, é informado de onde eles foram retirados. Desta vez, não ocorreu.

É provável que não haja uma fonte única de dados, afinal, ao longo dos anos diversos vazamentos, pequenos e grandes, ocorreram no setor público e privado. Somente em 2019 foi aprovada a Lei Geral de Proteção de Dados (LGPD) que pune empresas que deixaram dados vazarem.

Ao mesmo tempo, o governo federal ainda não colocou em funcionamento a Agência Nacional de Proteção de Dados (ANPD), que seria responsável por fiscalizar a obtenção de dados pessoais e possíveis vazamentos.

Pacotes organizaram informações de locais públicos e privados

Além de obter dados de forma irregular, aparentemente, os criminosos conseguiram informações por meio de fontes oficiais do governo e de sistemas privados. Uma parte do pacote se trata de uma grande organização destes dados, atribuindo detalhes de cada pessoa.

Dados como salários podem ser obtidos no portal da transparência de qualquer órgão. Empresas de marketing e crédito costumam utilizar dados do governo para vender. Ao mesmo tempo, criminosos que cometem fraudes podem se aproveitar da situação.

Fotos e informações como graduação podem ser obtidas em sites como o LinkedIn ou outras redes sociais. Até mesmo o score de crédito é fácil de ser conseguido, bastando ter o CPF da pessoa.

Concursos no Brasil