Jeudi dernier (28/01), le Procon de São Paulo a envoyé une lettre au commissariat général de la police civile de l'État pour demander l'ouverture d'une enquête sur la fuite de données d'environ 220 millions de Brésiliens. On soupçonne que les informations ont été extraites de Serasa Experian, mais la société le nie. Le dossier sera transmis à la Division des cybercriminalités de la police.
Il y a deux semaines, des fichiers ont été trouvés sur Internet contenant le nom, le CPF, la date de naissance, la photographie, le salaire et plus d'informations sur des citoyens brésiliens. La découverte a été faite par laboratoire dfndr, un laboratoire spécialisé dans la sécurité numérique de la startup PSafe, qui a signalé le cas à Estadão. Les fichiers étaient dans Places de marché, un secteur d'Internet non indexé par les sites de recherche comme Google ou autres, et donc sujet aux activités illégales.
Lundi (25/01), suite à la nouvelle de la fuite d'informations, le Secrétariat National de la Consommation (Senacon) a informé Serasa en exigeant des explications. L'entreprise aura 15 jours pour répondre si elle reconnaît la fuite survenue dans sa base de données ou celle de ses partenaires, depuis combien de temps les données ont été exposées, qui a eu accès à ces informations et, que ce soit dans sa base de données, ce qui a été fait pour y remédier. Comme nous l'avons déjà évoqué, Serasa nie être à l'origine de la fuite.
Extension du dossier
Des fichiers contenant des données importantes sur les citoyens brésiliens ont été trouvés sur des forums du Dark Web. Ils ont été divisés en parties, dont une plus complète, et ont été vendus par des criminels. Certains de ces fichiers se sont retrouvés sur Internet et étaient accessibles à toute personne disposant du lien de téléchargement.
La quantité d'informations peut être effrayante et créer de la confusion. Après tout, le la fuite contient des données d'environ 220 millions de CPF, ce qui dépasse l'estimation de 212 millions d'habitants du pays. Cela est dû au fait que les fichiers contenaient également des données sur des personnes déjà décédées. À cela s’ajoutent des numéros CNPJ liés aux CPF et qui contribuent au volume de données fuitées.
Certaines des informations divulguées étaient publiques et peuvent être consultées sur les sites officiels des agences gouvernementales. Cependant, une grande partie de ces informations n’était accessible que via les enregistrements d’entreprises. L'une des feuilles de calcul qui composent les fichiers divulgués contient la source de l'information et, parmi elles, apparaît Serasa.
Si la responsabilité de Serasa dans cette affaire est confirmée, le Code de protection des consommateurs prévoit une amende pouvant aller jusqu'à 10 millions de reais. Déjà le Loi générale sur la protection des données (LGPD) est encore plus incisif, évaluant la sanction jusqu'à 50 millions de reais, mais elle ne pourra être appliquée qu'en août de cette année.
Sois prudent
Il n’est pas encore possible d’évaluer l’ampleur des dégâts provoqués par cette fuite. Peut-être que cela ne sera possible qu'avec le résultat de l'enquête que devrait commencer à mener la Division de cybercriminalité de la police civile de São Paulo. Il est cependant bon de prendre quelques précautions à ce sujet.
Il existe déjà des sites Internet qui prétendent que l'utilisateur peut effectuer une requête pour savoir si ses données ont été divulguées, et pour cela, il lui demande de saisir ses données. C'est quelque chose qui nous ne recommandons pas, car vous pourriez transmettre (ou confirmer) vos informations à quelqu'un que vous ne connaissez pas.
De plus, si vous recevez un message d'un magasin ou d'une institution, que ce soit par e-mail, WhatsApp ou un autre canal, montrant vos coordonnées, ne lui faites pas confiance immédiatement. Recherchez sur le site officiel de l'entreprise pour vérifier les informations et ignorez-les simplement si elles ne sont pas réelles. Si vous avez des doutes ou si vous vous sentez mal à propos du message, contactez les organismes officiels pour obtenir de l'aide.
Image : Matejmo/iStock