220 milhões de CPFs e 40 milhões de CNPJs são expostos na internet

Especialistas consideram o mais lesivo vazamento de dados do Brasil.

No ultimo dia 19, pesquisadores do laboratório de cibersegurança da PSafe, o dfndr lab, identificaram o vazamento de dados em massa que pode colocar cerca de 220 milhões de pessoas em estado de vulnerabilidade.

Ainda não é possível saber a origem do vazamento, mas há indícios de que as informações pertençam à base de dados do Serasa. O jornal Estadão teve acesso a uma parte dos dados e encontrou documentos e menções a uma das bases de dados supostamente pertence ao Mosaic, serviço do Serasa. Por enquanto, a empresa tem negado ser a origem do vazamento, e diz estar investigando o caso.

De acordo com informações, o banco de dados vazado, reúne informações como o nome completo, data de nascimento e até mesmo o CPF de praticamente todos os brasileiros, bem como os dados de grandes autoridades do país. O banco de dados foi encontrado na chamada Dark web.

O diretor do dfndr lab alertou que os dados podem ser utilizados para pedir empréstimos, senha de banco e contratações de serviços.

A Autoridade Nacional de Proteção de Dados
(ANPD) do governo federal está atuando no caso.

ANPD enfim se pronuncia sobre vazamento de 220 milhões de CPFs

ANPD foi criada no âmbito da LGPD; entidade investiga vazamento de dados pessoais que afetou 223 milhões de brasileiros

ANPD (Autoridade Nacional de Proteção de Dados) se manifestou nesta quarta-feira (27) sobre o vazamento que afetou 223 milhões de CPFs e 40 milhões de CNPJs. A entidade, criada para cumprir a LGPD (Lei Geral de Proteção de Dados Pessoais) e aplicar punições para quem expõe dados pessoais, afirma estar realizando uma investigação a respeito.

A Autoridade Nacional de Proteção de Dados diz que está apurando tecnicamente informações sobre o caso, e vai cooperar com os órgãos de investigação competentes para descobrir:

  • a origem do vazamento;
  • a forma em que ele ocorreu;
  • as medidas de contenção e de mitigação adotadas em um plano de contingência;
  • as possíveis consequências e os danos causados pela violação.

Feito isto, a ANPD vai sugerir as medidas cabíveis previstas na LGPD para “a responsabilização e a punição dos envolvidos”, junto aos demais órgãos competentes.

A lei de proteção de dados prevê diversos tipos de punição, desde uma advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões. Vale lembrar, no entanto, que a ANPD ainda não tem o poder de multar: isso só será possível a partir de agosto de 2021.

Senacon e Procon-SP notificam Serasa

O vazamento de CPFs, cujos detalhes foram revelados com exclusividade pelo Tecnoblog, inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, classe social e diversas outras informações de 37 categorias diferentes. Uma amostra desse arquivo era oferecida de graça em fóruns na internet aberta e na dark web. Além disso, uma base com 40 milhões de CNPJs trazia dados como score de crédito, dívidas e lista de sócios.

Como havia informações relacionadas à Serasa Experian nos dois vazamentos, a empresa foi notificada pela Senacon (Secretaria Nacional do Consumidor) e pelo Procon-SP para prestar esclarecimentos. Ela garantiu várias vezes que não é a fonte dos dados, e afirmou estar “em contato com os reguladores para auxiliá-los em quaisquer dúvidas”.

Em posicionamento, a Serasa diz:

Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.

Este caso também está sendo analisado pelo MPDFT (Ministério Público do Distrito Federal e Territórios); enquanto o MPF-SP (Ministério Público Federal em São Paulo) confirma ter recebido representação a respeito do assunto, que será distribuído a um procurador em breve.

Caso deve ser levado “às últimas consequências”, diz Idec

Para Diogo Moyses, do Idec (Instituto Brasileiro de Defesa do Consumidor), “este caso pode se tornar uma prova de fogo para o ecossistema de proteção de dados, não só a ANPD, como também a relação com outros órgãos de defesa do consumidor e de investigação criminal”.

“Pela importância do caso, pela amplitude e pela quantidade de dados vazados, este é um caso que deve ser levado às últimas consequências”, sob risco de por em descrédito o ecossistema de proteção de dados “antes mesmo de ser implementado como um todo”, finalizou Diogo, que é coordenador do programa de Telecomunicações e Direitos Digitais do Idec.

Fonte: Tecnoblog

Compartilhar no facebook
Facebook
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn
Compartilhar no whatsapp
WhatsApp
Compartilhar no email
Email
Compartilhar no print
Imprimir

Sobre o autor

Equipe Tupãense Notícias

Equipe Tupãense Notícias

O portal Tupãense reúne os melhores produtores de conteúdo da região para fornecer a você notícias de alta qualidade.

Mais notícias

Últimas notícias

Últimas notícias

Últimas notícias

Últimas notícias

Proibida a reprodução total ou parcial. Para licenciar este conteúdo e reproduzi-lo entre em contato com nossa equipe comercial.