Na última quinta-feira (28/01), o Procon de São Paulo encaminhou um ofício à Delegacia Geral de Polícia Civil do Estado pedindo abertura de inquérito para investigar o vazamento de dados de aproximadamente 220 milhões de brasileiros. Há suspeitas de que as informações foram extraídas da Serasa Experian, mas a empresa nega. O caso será encaminhado à Divisão de Crimes Cibernéticos do órgão policial.

Há duas semanas, foram localizados arquivos na internet contendo nome, CPF, data de nascimento, fotografia, salário e mais informações de cidadãos brasileiros. A descoberta foi feita pelo dfndr lab, laboratório especializado em segurança digital da startup PSafe, que reportou o caso ao Estadão. Os arquivos estavam na Dark Web, um setor da internet não indexado aos sites de pesquisa como Google ou outros, e assim, propício a atividades ilegais.

Na segunda-feira (25/01), após a notícia do vazamento de informações, a Secretaria Nacional do Consumidor (Senacon) notificou a Serasa exigindo explicações. A empresa terá 15 dias para responder se reconhece o vazamento ocorreu em sua base de dados ou de parceiros, por quanto tempo os dados ficaram expostos, quem teve acesso a essas informações e, casa seja de seu base, o que foi feito para solucionar. Como já citamos, a Serasa nega ser a fonte do vazamento.

Extensão do caso

Os arquivos com dados importantes de cidadãos brasileiros foram encontrados em fóruns na Dark Web. Eles estavam divididos em partes, sendo uma delas mais completa, e eram vendidos por criminosos. Alguns desses arquivos vieram parar na internet e puderam ser acessados por qualquer pessoa que tivesse o link para o download.

Os números de informações podem assustar e gerar confusão, afinal o vazamento contém dados de aproximados 220 milhões de CPFs, o que supera a estimativa de 212 milhões de habitantes do país. Isso acontece porque os arquivos também continham dados de pessoas que já morreram. Além disso, constam números de CNPJ atrelados aos CPFs e que contribuem para o volume de dados vazados.

Algumas das informações vazadas eram públicas e podem ser consultadas em sites oficiais de órgãos do governo. Porém, boa parte só poderia ser acessada por cadastros de empresas. Uma das planilhas que compõe os arquivos vazados consta a fonte das informações e, dentre elas, aparece a Serasa.

Caso seja confirmada a responsabilidade do Serasa no caso, o Código de Defesa do Consumidor prevê pena de até R$ 10 milhões. Já a Lei Geral de Proteção de Dados (LGPD) é ainda mais incisiva, avaliando punição em até R$ 50 milhões, porém só poderá ser aplicada em agosto deste ano.

Tome cuidado

Ainda não é possível avaliar o tamanho dos danos causados por esse vazamento. Talvez isso só seja possível com o resultado da investigação que deve começar a ser feita pela Divisão de Crimes Cibernéticos da Polícia Civil de São Paulo. Entretanto, é bom tomar alguns cuidados quanto ao assunto.

Já existem sites alegando que o usuário pode realizar uma consulta para saber se seus dados foram vazados, para isso pedem que você insira seus dados. Isso é algo que não recomendamos, já que você pode estar entregando (ou confirmando) suas informações para algum desconhecido.

Além disso, se você receber alguma mensagem de alguma loja ou instituição, seja por email, WhatsApp ou outro canal, aparecendo seus dados, não confie de imediato. Busque o site oficial da empresa para verificar as informações, e simplesmente ignore caso não seja real. Se desconfiar ou se sentir mal com relação à mensagem, procure os órgãos oficiais para receber ajuda.

Imagem: Matejmo/iStock