Após o megavazamento de dados em janeiro deste ano, envolvendo informações confidenciais e sensíveis de brasileiros, uma base com o mesmo número de CPFs (223 milhões) está sendo vendida por criminosos pelo valor de R$ 95 mil (0,3 bitcoin) em um fórum na dark web. Assim como o vazamento anterior, a quantidade de informações vendidas supera o número de brasileiros, o que sugere que estejam incluídos dados de cidadãos vivos e falecidos.
Segundo informações do jornal Folha de São Paulo, os criminosos também disponibilizam uma “amostra gratuita” de 10 milhões de informações para os interessados em compra a base como uma forma de “degustação”. De acordo com os criminosos, os dados são atribuídos ao Poupatempo, um programa paulista que oferece serviços públicos, que nega qualquer tipo de incidente de segurança.
Especialistas ouvidos pela Folha destacam que mesmo que os dados estejam sendo atribuídos ao Poupatempo não há como garantir que saíram de lá. Além disso, eles também enfatizam que as informações podem ser resultado da coleta de informações de diversas fontes ao longo dos últimos meses ou até anos.
Em fevereiro, também tivemos outro incidente no qual mais de 100 milhões de brasileiros tiveram seus dados do celular expostos na Internet. Entre as informações vazados estavam o número de celular do presidente Jair Bolsonaro, do jornalista William Bonner e da apresentadora Fátima Bernardes. Neste caso, a Autoridade Nacional de Proteção de Dados (ANPD) destacou que trabalharia em conjunto com a Polícia Federal para investigar o incidente.
Para o Security Researcher da ESET, Daniel Barbosa, os últimos incidentes servem de alerta e reflexão sobre o papel tanto das empresas como dos órgãos de fiscalização nesses tipos de casos. “É de se esperar que os casos de vazamentos de dados ganhem destaque na imprensa, principalmente após a Lei Geral de Proteção de Dados (LGPD) entrar em vigor, mas não podemos esquecer que esses tipos de incidentes exigem o acompanhamento e ações efetivas por parte dos órgãos de fiscalização, como é o caso da Autoridade Nacional de Proteção de Dados (ANPD). É fundamental que as empresas e serviços possam efetivamente garantir a segurança dos dados fornecidos pelos clientes, cumprindo com as determinações da LGPD que devem ser fiscalizadas por tais órgãos”, enfatiza.