Rok 2021 rozpoczął się od poważnego skandalu związanego wyciek brazylijskich danych. Laboratorium dfndr (małe litery) firmy konsultingowej ds. bezpieczeństwa PS Safe zidentyfikowało gigantyczną bazę danych krążącą w dark webie, zawierającą dane 220 milionów Brazylijczyków, prawdopodobnie pochodzące z systemów Serasa Experian. Procon z São Paulo otworzył oczy na problem.

Złożoność dostępnych informacji umożliwiłaby szczegółową analizę praktycznie każdego żyjącego Brazylijczyka i wielu zmarłych, ponieważ kraj ten ma obecnie szacunkowo tylko 209 milionów mieszkańców. CPF, CNPJ, adresy zamieszkania i prowadzenia działalności gospodarczej, szacunkowe dochody, aktywa, numery telefonów i inne wrażliwe dane mogą być wykorzystane do oszustwa socjotechniczne, w których przestępcy personalizują atak, wykorzystując informacje od samej ofiary, wprowadzając ją w błąd, że ma do czynienia z legalną wiadomością e-mail, SMS lub inną wiadomością, ponieważ nadawca prawidłowo podał informacje na jej temat.

Organizacja pozarządowa, która działa na rzecz ochrony danych osobowych nawet zażądał grzywny w wysokości miliona dolarów dla Serasa po wycieku i Procon-SP poprosił o wszczęcie dochodzenia policyjnego, oprócz żądania wyjaśnień od firmy. Odpowiedź w końcu nadeszła, ale nie wydaje się, aby rzucała wiele światła na sprawę.

Więcej pytań niż odpowiedzi

Chociaż główną podejrzaną o wyciek informacji jest Serasa Experian, Procon-SP informuje, że firma prowadzi wewnętrzne dochodzenie i że na razie wszystko wskazuje na to, że wyciekłe dane nie pochodziły z niej.

Mimo odpowiedzi Procon-SP nie jest usatysfakcjonowany. Serasa mówi o przestrzeganiu Ogólnego prawa o ochronie danych osobowych (LGPD), ale agencja żąda więcej informacji o tym, w jaki sposób promowana jest przejrzystość uzyskanych danych i w jaki sposób — i z kim — są one udostępniane.

Jeśli chodzi o możliwe środki mające na celu ochronę konsumentów, dla Procon-SP komunikacja instytucjonalna na stronie internetowej firmy ma charakter wyłącznie zapobiegawczy, a nie naprawczy. Firma nie wyjaśniałaby, jak postąpiłaby, gdyby informacje o konsumentach w jej posiadaniu faktycznie wyciekły, w jaki sposób chroniłaby ich lub rekompensowałaby im straty.

Według Fernando Capeza, dyrektora wykonawczego Procon w São Paulo, Serasa Experian odpowiedziała na powiadomienie agencji w sposób ogólny i nie jest wykluczone, że to firma była źródłem wycieku. Agencja spotka się teraz ze swoją radą nadzorczą, aby ustalić, czy nałożyć grzywnę. Jednak bez dowodu na domniemane zaangażowanie Serasa będzie to trudne.

W każdym razie szkoda — niezależnie od tego, czy dotyczy Serasy — już została wyrządzona, ponieważ przeciek ujawnił wiarygodne informacje na temat obywateli Brazylii.

Zdjęcie: dem10/Getty Images