Esta semana, surgiu a notícia de um vazamento enorme que expôs o CPF de mais de 220 milhões de brasileiros. O Tecnoblog descobriu que o caso é mais grave: esse conjunto de dados pessoais, oferecido de graça em um fórum de internet, está associado a uma base ainda maior que inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, renda e muito mais. O arquivo parece estar associado à Serasa Experian, mas a empresa nega ser a fonte.
Temos aqui dois casos distintos, mas relacionados. O primeiro vazamento inclui somente nome completo, CPF, data de nascimento e gênero: ele está disponível para download gratuito em um fórum bastante conhecido por divulgar esse tipo de informação.
O arquivo de 14 GB possui dados de 223,74 milhões de CPFs distintos, e aparentemente foi compilado em agosto de 2019. Ele está disponível na internet aberta, não na dark web: o link até foi indexado pela busca do Google. O número de pessoas afetadas é maior do que a população brasileira porque a base de dados também inclui falecidos.
Por sua vez, o segundo vazamento traz informações dos mesmos 223,74 milhões de pessoas e também teria sido compilado em agosto de 2019. Ele foi divulgado pelo mesmo usuário no fórum, e inclui os CPFs na mesma ordem, como ilustra a imagem abaixo:
Comparação dos dois vazamentos (Imagem: Reprodução)
Neste caso, só a prévia está disponível de graça: quem quiser o pacote completo tem que gastar dinheiro. Os preços variam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade comprada. O pagamento é feito somente em bitcoin.
No total, são 37 bases que incluem todo tipo de dado pessoal, incluindo RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre muitos outros.
Vazamento veio da Serasa Experian?
O vazamento maior é intitulado “Serasa Experian”, e existem alguns indícios de que estes dados podem estar relacionados à empresa:
uma das bases traz dados do Mosaic, serviço da Serasa Experian que classifica os consumidores em 11 grupos e 40 segmentos, a fim de fazer anúncios segmentados e prospecção de clientes;
outras duas bases possuem informações sobre modelos de afinidade e propensão, algo que também é oferecido pela Serasa, a chance de que uma pessoa tem de comprar determinado produto ou serviço como seguro, previdência privada, cartão de crédito, jogos, viagens, artigos de luxo, entre outros;
há ainda uma lista de scores de crédito, produto pelo qual a Serasa é mais conhecida.
Em comunicado ao Tecnoblog, a Serasa Experian diz: “estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web; conduzimos uma investigação e neste momento não vemos nada que indique que a Serasa seja a fonte”.
E a LGPD?
A LGPD (Lei Geral de Proteção de Dados Pessoais), que está valendo desde setembro de 2020, prevê sanções que vão desde uma advertência até uma multa de 2% sobre o faturamento anual até o máximo de R$ 50 milhões.
No entanto, as punições só devem ser aplicadas a partir de agosto de 2021. Isso ficará a cargo da ANPD (Autoridade Nacional de Proteção de Dados), que ainda está definindo seus principais cargos técnicos.
O que foi exposto no vazamento de 220 milhões
Parte das pastas inclusas no vazamento (Imagem: Reprodução)
O Tecnoblog contou com a ajuda do DataBreaches.net para descobrir os detalhes deste conjunto de dados, que está à venda na internet desde a semana passada.
Reunimos abaixo as principais informações que constam no vazamento maior:
básico: nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe
estado civil (casado, solteiro, divorciado, viúvo, outros)
vínculo familiar: categoriza pessoas de acordo com vínculo de 1º grau (mãe, pai, filho, filha, irmão, irmã, cônjuge) ou 2º grau (avô, neto, tio, sobrinho, primo etc.)
e-mail
telefone: DDD, número, operadora, plano, tipo de linha (fixa, pré-paga, pós-paga), data de instalação
endereço: logradouro, número, bairro, cidade, estado, CEP, tipo (residencial / comercial), latitude e longitude
domicílios: CPF do chefe de família, número de pessoas, faixa de renda, endereço completo
escolaridade: nível (analfabeto / fundamental / técnico / superior etc.)
universitários: 1.643.105 pessoas com nome da faculdade, curso, ano de entrada e ano de conclusão
ocupação: cargo, número CBO (Classificação Brasileira de Ocupações)
emprego: CNPJ e razão social do empregador, número do PIS/PASEP/NIT, número do CTPS, tipo de vínculo (CLT, autônomo, servidor, aprendiz etc.), data de admissão, salário, horas de trabalho por semana
salário: valor, tipo (mensal, quinzenal, semanal etc.), horas por semana
renda: valor mensal (inclui salário, aluguéis, recebimento de juros etc.), classe social (baixa, média, alta), faixa de renda
classe social (A1, A2, B1, B2, C1, C2, D, E)
poder aquisitivo: nível (baixo, médio, alto), renda, salário
Bolsa Família: valor, situação do benefício (liberado / bloqueado), status do benefício (ativo / inativo), número e nome dos dependentes, NIS (Número de Identificação Social)
título de eleitor: número de inscrição, zona, seção, endereço, município, estado
RG
FGTS: número do PIS
CNS (Cartão Nacional de Saúde)
NIS (Número de Identificação Social)
PIS/PASEP
INSS: nome do segurado, número do benefício, data de início, espécie (aposentadoria, pensão, salário-maternidade etc.)
IRPF (imposto de renda): nome da instituição bancária, código da agência, lote de restituição
score de crédito: atividade de crédito, score de risco, nível de risco (baixo / médio / alto)
devedores: nome, tipo do devedor (principal, corresponsável), situação (ativa, em cobrança, ajuizada), tipo de dívida (multa, imposto de renda, PIS etc.), valor, foi parar na Justiça? (sim / não)
cheques sem fundos: código e agência do banco, motivo (sem fundos / conta encerrada)
Mosaic: grupo e subgrupo de segmentação
afinidade: nível de precisão, percentil
modelo analítico: prevê chance de consumidor ter afinidade para comprar um produto ou serviço
fotos de rostos: 1.176.157 imagens JPEG com datas entre 2012 e 2020; o nome de arquivo é o CPF da pessoa correspondente
LinkedIn: 5.051.553 perfis da rede social com número ID e URL de acesso
empresarial: nome do sócio de uma empresa, participação (ações e %), razão social e nome fantasia da empresa, CNPJ, data de entrada na sociedade
servidores públicos: descrição do cargo, lotação, exercício, renda bruta, estado, vínculo, afastamento (sim / não)
conselhos: 2.260.960 pessoas que prestam consultoria no âmbito público ou privado, incluindo situação, especialidade e código de ocupação
óbitos: data de falecimento, idade, data da certidão de óbito, nome e endereço do cartório
Nestas horas que vemos a importância das empresas públicas de informática. Serpro e Dataprev nunca deixaram isto acontecer e vai ser muito mas muito difícil acontecer. Contudo na iniciativa privada é corriqueiro. Quem é mais eficiente? Iniciativa privada é o barato que sai caríssimo. Quem vai pagar os danos diso?
Se eu estiver na lista (quase certo que sim, dado o número de CPFs), cabe ação utilizando como base a LGPD? Nesse caso, como não há um culpado definido e somente suspeitas, quem poderia ser responsabilizado num primeiro momento?
Tecnoblog poderia ajudar ai dizendo onde comprar esses dados? Tem algumas pessoas que eu gostaria de ter a “capivara”, além de mim mesmo, é claro… É bom saber o que os outros sabem sobre mim.
Comentários da Comunidade
Participe da discussãoOs mais notáveis
Pô, maneiro!
E o que que eu faço?
Alguém sabe como comprar meus próprios dados (CPF) para eu saber de que forma estou exposto?
Um vazamento dessa magnitude, com tantos dados compilados e categorizados, é óbvio que (se for mesmo) da Serasa, não iriam assumir.
Pois é. Ainda que a multa seja pequena para o que eles ganham, sabem que o backlash seria gigantesco.
E tem como saber se eu estou no meio desta lista aí?
Porra, eu queria ver os meus dados, pra saber como sou categorizado
Cara, considerando que são dados de 223 milhões de pessoas, provavelmente tem de todas as pessoas adultas do Brasil.
E eu evitando dar meu CPF na farmácia
Nestas horas que vemos a importância das empresas públicas de informática. Serpro e Dataprev nunca deixaram isto acontecer e vai ser muito mas muito difícil acontecer. Contudo na iniciativa privada é corriqueiro. Quem é mais eficiente? Iniciativa privada é o barato que sai caríssimo. Quem vai pagar os danos diso?
Se eu estiver na lista (quase certo que sim, dado o número de CPFs), cabe ação utilizando como base a LGPD? Nesse caso, como não há um culpado definido e somente suspeitas, quem poderia ser responsabilizado num primeiro momento?
Tecnoblog poderia ajudar ai dizendo onde comprar esses dados?
Tem algumas pessoas que eu gostaria de ter a “capivara”, além de mim mesmo, é claro… É bom saber o que os outros sabem sobre mim.
LGPD pra que né? Se já vazaram todos os dados possíveis de praticamente todas as pessoas do país não faz nem sentido, vai proteger o que agora?
Chefe, os caras conseguem até apagar suas multas no Detran. Acha mesmo que o fato da empresa ser pública é garantia de alguma coisa?
Podiscre Mas sempre fica aquela esperança de ter sido poupado. Mas faz sentido…
Sinto muito, mas mesmo que o pessoal do tecnoblog soubesse eles não poderiam te dizer, porque trariam problemas gigantescos para eles.