Esta semana, surgiu a notícia de um vazamento enorme que expôs o CPF de mais de 220 milhões de brasileiros. O Tecnoblog descobriu que o caso é mais grave: esse conjunto de dados pessoais, oferecido de graça em um fórum de internet, está associado a uma base ainda maior que inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, renda e muito mais. O arquivo parece estar associado à Serasa Experian, mas a empresa nega ser a fonte.

Bandeira do Brasil (Imagem: ilanwet/Pixabay)

Bandeira do Brasil (Imagem: ilanwet/Pixabay)

Dois vazamentos de dados

Temos aqui dois casos distintos, mas relacionados. O primeiro vazamento inclui somente nome completo, CPF, data de nascimento e gênero: ele está disponível para download gratuito em um fórum bastante conhecido por divulgar esse tipo de informação.

O arquivo de 14 GB possui dados de 223,74 milhões de CPFs distintos, e aparentemente foi compilado em agosto de 2019. Ele está disponível na internet aberta, não na dark web: o link até foi indexado pela busca do Google. O número de pessoas afetadas é maior do que a população brasileira porque a base de dados também inclui falecidos.

Por sua vez, o segundo vazamento traz informações dos mesmos 223,74 milhões de pessoas e também teria sido compilado em agosto de 2019. Ele foi divulgado pelo mesmo usuário no fórum, e inclui os CPFs na mesma ordem, como ilustra a imagem abaixo:

Comparação dos dois vazamentos (Imagem: Reprodução)

Comparação dos dois vazamentos (Imagem: Reprodução)

Neste caso, só a prévia está disponível de graça: quem quiser o pacote completo tem que gastar dinheiro. Os preços variam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade comprada. O pagamento é feito somente em bitcoin.

No total, são 37 bases que incluem todo tipo de dado pessoal, incluindo RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre muitos outros.

Vazamento veio da Serasa Experian?

O vazamento maior é intitulado “Serasa Experian”, e existem alguns indícios de que estes dados podem estar relacionados à empresa:

  • uma das bases traz dados do Mosaic, serviço da Serasa Experian que classifica os consumidores em 11 grupos e 40 segmentos, a fim de fazer anúncios segmentados e prospecção de clientes;
  • outras duas bases possuem informações sobre modelos de afinidade e propensão, algo que também é oferecido pela Serasa, a chance de que uma pessoa tem de comprar determinado produto ou serviço como seguro, previdência privada, cartão de crédito, jogos, viagens, artigos de luxo, entre outros;
  • há ainda uma lista de scores de crédito, produto pelo qual a Serasa é mais conhecida.

Em comunicado ao Tecnoblog, a Serasa Experian diz: “estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web; conduzimos uma investigação e neste momento não vemos nada que indique que a Serasa seja a fonte”.

E a LGPD?

A LGPD (Lei Geral de Proteção de Dados Pessoais), que está valendo desde setembro de 2020, prevê sanções que vão desde uma advertência até uma multa de 2% sobre o faturamento anual até o máximo de R$ 50 milhões.

No entanto, as punições só devem ser aplicadas a partir de agosto de 2021. Isso ficará a cargo da ANPD (Autoridade Nacional de Proteção de Dados), que ainda está definindo seus principais cargos técnicos.

O que foi exposto no vazamento de 220 milhões

Parte das pastas inclusas no vazamento (Imagem: Reprodução)

Parte das pastas inclusas no vazamento (Imagem: Reprodução)

O Tecnoblog contou com a ajuda do DataBreaches.net para descobrir os detalhes deste conjunto de dados, que está à venda na internet desde a semana passada.

Reunimos abaixo as principais informações que constam no vazamento maior:

  • básico: nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe
  • estado civil (casado, solteiro, divorciado, viúvo, outros)
  • vínculo familiar: categoriza pessoas de acordo com vínculo de 1º grau (mãe, pai, filho, filha, irmão, irmã, cônjuge) ou 2º grau (avô, neto, tio, sobrinho, primo etc.)
  • e-mail
  • telefone: DDD, número, operadora, plano, tipo de linha (fixa, pré-paga, pós-paga), data de instalação
  • endereço: logradouro, número, bairro, cidade, estado, CEP, tipo (residencial / comercial), latitude e longitude
  • domicílios: CPF do chefe de família, número de pessoas, faixa de renda, endereço completo
  • escolaridade: nível (analfabeto / fundamental / técnico / superior etc.)
  • universitários: 1.643.105 pessoas com nome da faculdade, curso, ano de entrada e ano de conclusão
  • ocupação: cargo, número CBO (Classificação Brasileira de Ocupações)
  • emprego: CNPJ e razão social do empregador, número do PIS/PASEP/NIT, número do CTPS, tipo de vínculo (CLT, autônomo, servidor, aprendiz etc.), data de admissão, salário, horas de trabalho por semana
  • salário: valor, tipo (mensal, quinzenal, semanal etc.), horas por semana
  • renda: valor mensal (inclui salário, aluguéis, recebimento de juros etc.), classe social (baixa, média, alta), faixa de renda
  • classe social (A1, A2, B1, B2, C1, C2, D, E)
  • poder aquisitivo: nível (baixo, médio, alto), renda, salário
  • Bolsa Família: valor, situação do benefício (liberado / bloqueado), status do benefício (ativo / inativo), número e nome dos dependentes, NIS (Número de Identificação Social)
  • título de eleitor: número de inscrição, zona, seção, endereço, município, estado
  • RG
  • FGTS: número do PIS
  • CNS (Cartão Nacional de Saúde)
  • NIS (Número de Identificação Social)
  • PIS/PASEP
  • INSS: nome do segurado, número do benefício, data de início, espécie (aposentadoria, pensão, salário-maternidade etc.)
  • IRPF (imposto de renda): nome da instituição bancária, código da agência, lote de restituição
  • Receita Federal: situação cadastral (regular / suspensa / cancelada / titular falecido)
  • score de crédito: atividade de crédito, score de risco, nível de risco (baixo / médio / alto)
  • devedores: nome, tipo do devedor (principal, corresponsável), situação (ativa, em cobrança, ajuizada), tipo de dívida (multa, imposto de renda, PIS etc.), valor, foi parar na Justiça? (sim / não)
  • cheques sem fundos: código e agência do banco, motivo (sem fundos / conta encerrada)
  • Mosaic: grupo e subgrupo de segmentação
  • afinidade: nível de precisão, percentil
  • modelo analítico: prevê chance de consumidor ter afinidade para comprar um produto ou serviço
  • fotos de rostos: 1.176.157 imagens JPEG com datas entre 2012 e 2020; o nome de arquivo é o CPF da pessoa correspondente
  • LinkedIn: 5.051.553 perfis da rede social com número ID e URL de acesso
  • empresarial: nome do sócio de uma empresa, participação (ações e %), razão social e nome fantasia da empresa, CNPJ, data de entrada na sociedade
  • servidores públicos: descrição do cargo, lotação, exercício, renda bruta, estado, vínculo, afastamento (sim / não)
  • conselhos: 2.260.960 pessoas que prestam consultoria no âmbito público ou privado, incluindo situação, especialidade e código de ocupação
  • óbitos: data de falecimento, idade, data da certidão de óbito, nome e endereço do cartório

Comentários da Comunidade

Participe da discussão
24 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Ricardo Neves (@Ricardo_Neves)

Pô, maneiro!

E o que que eu faço?

Cléber Oliveira (@oliveira.cleber)

Alguém sabe como comprar meus próprios dados (CPF) para eu saber de que forma estou exposto?

🤷‍♀️ (@xavier)

Um vazamento dessa magnitude, com tantos dados compilados e categorizados, é óbvio que (se for mesmo) da Serasa, não iriam assumir.

Henrique Akira (@Henrique_Akira)

Pois é. Ainda que a multa seja pequena para o que eles ganham, sabem que o backlash seria gigantesco.

Henrique Akira (@Henrique_Akira)

E tem como saber se eu estou no meio desta lista aí?

Alex (@wuhkuh)

Porra, eu queria ver os meus dados, pra saber como sou categorizado

Islan Oliveira (@Islan_Oliveira)

Cara, considerando que são dados de 223 milhões de pessoas, provavelmente tem de todas as pessoas adultas do Brasil.

Matheus Falcão (@theus)

E eu evitando dar meu CPF na farmácia

Fábio Santos (@Fabios3)

Nestas horas que vemos a importância das empresas públicas de informática. Serpro e Dataprev nunca deixaram isto acontecer e vai ser muito mas muito difícil acontecer. Contudo na iniciativa privada é corriqueiro. Quem é mais eficiente? Iniciativa privada é o barato que sai caríssimo. Quem vai pagar os danos diso?

Mickey Sigrist (@Mickey)

Se eu estiver na lista (quase certo que sim, dado o número de CPFs), cabe ação utilizando como base a LGPD? Nesse caso, como não há um culpado definido e somente suspeitas, quem poderia ser responsabilizado num primeiro momento?

Daniel Ribeiro (@danarrib)

Tecnoblog poderia ajudar ai dizendo onde comprar esses dados?
Tem algumas pessoas que eu gostaria de ter a “capivara”, além de mim mesmo, é claro… É bom saber o que os outros sabem sobre mim.

André Cardoso (@andre)

LGPD pra que né? Se já vazaram todos os dados possíveis de praticamente todas as pessoas do país não faz nem sentido, vai proteger o que agora?

Daniel Ribeiro (@danarrib)

Chefe, os caras conseguem até apagar suas multas no Detran. Acha mesmo que o fato da empresa ser pública é garantia de alguma coisa?

Henrique Akira (@Henrique_Akira)

Podiscre Mas sempre fica aquela esperança de ter sido poupado. Mas faz sentido…

Lucas Prudencio (@LEMMiNOw)

Sinto muito, mas mesmo que o pessoal do tecnoblog soubesse eles não poderiam te dizer, porque trariam problemas gigantescos para eles.

Exibir mais comentários