O vazamento de centenas de milhões de registros e dados pessoais vieram à tona desde o inicio do ano
Em dois meses, dois megavazamentos de dados privados assustaram o Brasil. Em janeiro, veio à tona a exposição na internet de 223 milhões de CPFs de pessoas vivas e falecidas. Agora, veio à tona o vazamento de quase 103 milhões de registros de celulares. Os dois casos foram descobertos pela empresa de segurança cibernética PSafe. Para Marco DeMello, CEO da PSafe, esses megavazamentos evidenciam que o mundo vive nada menos que duas pandemias: uma de covid e outra de ciberataques.
“Essas duas pandemias coexistem e foram aceleradas no mesmo ano. O que estamos vendo dessa pandemia digital de ciberataques é uma realidade em que todas as empresas e indivíduos estão vulneráveis a ataques de inteligência artificial avançadas e as defesas não se adaptaram ainda a essa nova realidade”, disse Marco em entrevista à BBC News Brasil.
Nesse ambiente em que empresas e governos estariam amplamente vulneráveis a ataques cibernéticos, o Brasil, segundo DeMello, ainda sofre com a desvantagem de estar mais despreparado que a maioria dos países. “O Brasil tem uma defasagem muito grande entre a sua posição econômica e a sua posição em termos de cibersegurança. É a 8ª maior economia e o penúltimo, dentre 47 países monitorados, em velocidade de detecção de vazamento de dados”.
No dia 3 de fevereiro, a equipe da PSafe detectou a oferta na deep web de 102.828.814 contas de celular com informações sensíveis como tempo de duração de ligações, número do telefone e outros dados pessoais, como CPF e endereço. Entre os donos dessas contas estariam autoridades, como o presidente Jair Bolsonaro. DeMello não quis mencionar nomes de pessoas que tiveram as informações vazadas, mas confirmou que entre elas estão várias autoridades e celebridades. “Não confirmo nada sobre nenhum indivíduo particular por uma questão de privacidade. Mas, sim, existem celebridades dentro dessa base, celebridades privadas e públicas”.
Cada registro de celular estava sendo vendido a US$ 1, com possibilidade de valores unitários menores no caso da aquisição de milhões de contas por um mesmo comprador. Segundo DeMello, a pessoa que vendia os registros disse que os dados são da Vivo e da Claro. As duas empresas negam e o CEO da PSafe diz que não é possível confirmar por enquanto a origem dos dados. Ele afirmou, porém, que tudo indica que os registros saíram de grandes operadoras de telefonia.
Alguns trechos da entrevista à BBC:
Como foi feita essa descoberta? E de que forma se deu a interação entre os funcionários da PSafe e quem estava vendendo os registros?
Nós temos um sistema de proteção para empresas e a inteligência artificial desse sistema tem monitoramento da deep web. Fazemos um monitoramento constante de vazamentos em todos os fóruns em que estamos infiltrados.
O primeiro vazamento que alertamos esse ano foi em 19 de janeiro, de 223 milhões de CPFs. Em 3 de fevereiro encontramos esse segundo vazamento, que conteria quase 103 milhões de registros telefônicos de duas operadoras. Nosso time de segurança já parte automaticamente para análise do vazamento e alegações do criminoso. A gente passa para a interação humana, interroga o criminoso. Nós desafiamos, questionamos o criminoso, para forçá-lo a comprovar que as alegações são verdadeiras ou ignorá-lo por ser mais um mentiroso na dark web, porque tem muito.
Fizemos isso e as alegações que o criminoso havia feito acabaram se comprovando em vários aspectos. Nós temos técnicas e táticas e ferramentas para fazer essa comprovação. E chegamos à conclusão de uma probabilidade muito alta de serem realmente quase 103 milhões de registros de telefonia celular. Não tivemos acesso aos 103 milhões. Tivemos acesso a exemplos por estado, estratos por estado, que a gente conseguiu investigar para comprovar a veracidade.
Ele chegou a oferecer essas amostras gratuitamente ou foi preciso comprar alguns desses registros?
Gratuitamente. Nós não compramos nada na darkweb. Isso é crime, e a gente não participa disso. A gente alerta sobre esse tipo de vazamento de segurança, mas a gente trabalha puramente com interrogação e técnicas de validação com esses criminosos. É de interesse deles comprovar, porque se eles não comprovam, não vendem. Eles sabem que ninguém vai pagar nada sem antes ter prova de que eles têm os dados que dizem ter.
É uma prática estabelecida. Tem técnicas e métodos com as quais a gente consegue receber essas amostras gratuitamente para pesquisa. Nós não mantemos esses dados nos nossos sistemas. A gente usa isso para comprovação e validação e notificação das autoridades. Fizemos notificação à Autoridade Nacional de Proteção de Dados, a ANPD, que é responsável pela investigação no contexto da Lei Geral de Proteção de Dados, que está em vigor no Brasil com multas previstas a partir de agosto. E nós fizemos notificação pública do que foi observado pelo nosso sistema de segurança.
Foi noticiado que entre esses registros estão os de pessoas públicas, como o presidente Jair Bolsonaro. Como é feita a verificação de dados assim, do presidente?
Nós não comentamos. Não confirmo nada sobre nenhum indivíduo particular por uma questão de privacidade. A gente respeita muito a privacidade de pessoas envolvidas. Mas, sim, existem celebridades dentro dessa base, celebridades privadas e públicas. E essa confirmação é feita da mesma forma como fazemos outras confirmações. Existem técnicas e ferramentas e conseguimos verificar através de dados como CPF, nome completo e etc. Vemos se esses dados batem com o de outros vazamento que a gente já tem conhecimento e isso começa a compor um caso de que esses dados são reais.
Nunca existe 100% de certeza. A gente precisa deixar isso muito claro. Não tem como ter certeza nem da proveniência dos dados nem de que a base inteira está tão correta quanto os exemplos informados. Então é um trabalho investigativo que precisa acontecer a partir daqui pelas autoridades. Baseado em toda a nossa experiência, a gente acredita que esse vazamento é real.
Quais as possíveis consequências para as pessoas e para as empresas de um vazamento como esse? Para que os dados podem ser usados?
No caso da pessoa física, existem várias técnicas que criminosos usam para assumir a identidade da pessoa. E muitas vezes cometer crimes em nome da pessoa ou vender propriedades que aquela pessoa tem sem ter o direito de fazer isso. Fazer empréstimos em nome daquela pessoa. Há muitos ataques diferentes.
Para as empresas, evidentemente o impacto de ter dados dos seus clientes vazados, suas técnicas, suas patentes, isso pode gerar um prejuízo existencial. Pode virar uma razão de a empresa deixar de existir. A consequência vai de uma perda financeira, de um processo ou de uma multa, até o encerramento das operações da empresa. Isso depende do tamanho e volume de dados do vazamento. Mas em geral é bastante destrutivo e devastador.
