White Hack - Gestão de Vulnerabilidade e LGPD
Facebook-f Twitter Instagram Linkedin

Vazamento massivo de dados de 220 milhões de brasileiros [ATUALIZADO]

Vazamento de Dados de 220 milhões de brasileiros

No início desta terça-feira (19), o dfndr lab, PSafe’s cybersecurity laboratory, relatou um grande vazamento de um banco de dados de brasileiros que podem ter exposto o número do CPF e outras informações confidenciais de praticamente toda a população.

De acordo com os especialistas, que utilizam técnicas de inteligência artificial para identificar links maliciosos e notícias falsas, os dados vazados contêm ainda as informações detalhadas sobre 104 milhões de veículos e cerca de 40 milhões de empresas, potencialmente vulneráveis a 220 milhões de pessoas.

As informações contidas no banco de dados comprometido incluem nome, data de nascimento e CPF de quase todos os brasileiros, incluindo autoridades. Em nota à imprensa, o diretor do dfndr lab, Emilio Simoni, explicou que o maior risco é que esses dados sejam usados em golpes de phishing, nos quais uma pessoa é induzida a fornecer mais informações pessoais em uma página falsa.

Veja: Vazamento de 76.000 biometrias de brasileiros

O maior vazamento de dados da história do Brasil

As informações sobre os mais de 104 milhões de veículos revelam detalhes importantes, como número do chassi, placa, município, cor, marca, modelo, ano de fabricação, cilindrada do motor e até mesmo o tipo de combustível utilizado. No caso de pessoa jurídica, vazou: CNPJ, razão social e data de fundação.

Simoni também esclarece que, por se tratar de informações preciosas para o mercado, presume-se que sejam comercializados ilegalmente em algum fórum dark web. Embora parte das bases seja disponibilizada para teste, diz ele, os cibercriminosos vendem “os dados mais aprofundados, como e-mails, telefones, dados de poder de compra e ocupação das pessoas afetadas”.

No comunicado, o PSafe não informa o nome da empresa envolvida e nem como a informação vazou, seja por falha de segurança, invasão de hacker ou fácil acesso. A nova Lei de Segurança da Proteção de Dados do Brasil prevê multas que podem chegar a R$ 50 milhões para infrações desse tipo.

———————————————-//———————————————-

Atualização: 22/01/2021

Segundo matéria do site Tecnoblog, houveram 2 vazamentos na mesma ocasião. No 2º vazamento a base de dados é ainda maior do que se imaginava e também é de mais de 220 milhões de brasileiros. Os dados à venda na Dark Web possuem mais de 14GB de informações e possuem 11 grupos e 40 segmentos. Os preços variam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade comprada. O pagamento é feito somente em bitcoin.

No total, são 37 bases que incluem todo tipo de dado pessoal, incluindo RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre muitos outros. Tudo indica que os dados podem ter vindo do Serasa Experian, pois incluem dados muito similares com os que são captado pela empresa.

Com a ajuda do DataBreaches.net o site Tecnoblog conseguiu reunir a lista de categorias que foram vazadas. São elas:

  • básico: nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe
  • estado civil (casado, solteiro, divorciado, viúvo, outros)
  • vínculo familiar: categoriza pessoas de acordo com vínculo de 1º grau (mãe, pai, filho, filha, irmão, irmã, cônjuge) ou 2º grau (avô, neto, tio, sobrinho, primo etc.)
  • e-mail
  • telefone: DDD, número, operadora, plano, tipo de linha (fixa, pré-paga, pós-paga), data de instalação
  • endereço: logradouro, número, bairro, cidade, estado, CEP, tipo (residencial / comercial), latitude e longitude
  • domicílios: CPF do chefe de família, número de pessoas, faixa de renda, endereço completo
  • escolaridade: nível (analfabeto / fundamental / técnico / superior etc.)
  • universitários: 1.643.105 pessoas com nome da faculdade, curso, ano de entrada e ano de conclusão
  • ocupação: cargo, número CBO (Classificação Brasileira de Ocupações)
  • emprego: CNPJ e razão social do empregador, número do PIS/PASEP/NIT, número do CTPS, tipo de vínculo (CLT, autônomo, servidor, aprendiz etc.), data de admissão, salário, horas de trabalho por semana
  • salário: valor, tipo (mensal, quinzenal, semanal etc.), horas por semana
  • renda: valor mensal (inclui salário, aluguéis, recebimento de juros etc.), classe social (baixa, média, alta), faixa de renda
  • classe social (A1, A2, B1, B2, C1, C2, D, E)
  • poder aquisitivo: nível (baixo, médio, alto), renda, salário
  • Bolsa Família: valor, situação do benefício (liberado / bloqueado), status do benefício (ativo / inativo), número e nome dos dependentes, NIS (Número de Identificação Social)
  • título de eleitor: número de inscrição, zona, seção, endereço, município, estado
  • RG
  • FGTS: número do PIS
  • CNS (Cartão Nacional de Saúde)
  • NIS (Número de Identificação Social)
  • PIS/PASEP
  • INSS: nome do segurado, número do benefício, data de início, espécie (aposentadoria, pensão, salário-maternidade etc.)
  • IRPF (imposto de renda): nome da instituição bancária, código da agência, lote de restituição
  • Receita Federal: situação cadastral (regular / suspensa / cancelada / titular falecido)
  • score de crédito: atividade de crédito, score de risco, nível de risco (baixo / médio / alto)
  • devedores: nome, tipo do devedor (principal, corresponsável), situação (ativa, em cobrança, ajuizada), tipo de dívida (multa, imposto de renda, PIS etc.), valor, foi parar na Justiça? (sim / não)
  • cheques sem fundos: código e agência do banco, motivo (sem fundos / conta encerrada)
  • Mosaic: grupo e subgrupo de segmentação
  • afinidade: nível de precisão, percentil
  • modelo analítico: prevê chance de consumidor ter afinidade para comprar um produto ou serviço
  • fotos de rostos: 1.176.157 imagens JPEG com datas entre 2012 e 2020; o nome de arquivo é o CPF da pessoa correspondente
  • LinkedIn: 5.051.553 perfis da rede social com número ID e URL de acesso
  • empresarial: nome do sócio de uma empresa, participação (ações e %), razão social e nome fantasia da empresa, CNPJ, data de entrada na sociedade
  • servidores públicos: descrição do cargo, lotação, exercício, renda bruta, estado, vínculo, afastamento (sim / não)
  • conselhos: 2.260.960 pessoas que prestam consultoria no âmbito público ou privado, incluindo situação, especialidade e código de ocupação
  • óbitos: data de falecimento, idade, data da certidão de óbito, nome e endereço do cartório

A ANPD (Autoridade Nacional de Proteção de Dados) ainda não começou a multar. A previsão é de que as multas comecem a acontecer a partir de agosto de 2021. As multas podem chegar a R$50 milhões.

Picture of Guilherme Reis

Guilherme Reis

Tech Leader - White Hack - Engenheiro de Software especialista em Blockchain. Professor de programação e blockchain na Faculdade Arnaldo, IGTI e ESA.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Compartilhe

Mais Posts

Prometheus TDS

Prometheus TDS é usado em diversos ataques

Vários grupos cibercriminosos estão utilizando uma solução de Malware-as-a-Service (MaaS) para distribuir uma vasta gama de campanhas de distribuição de software malicioso que resultam na

FLoC: O Novo Rastreador do Google

Os cookies de terceiros (third-party cookies) no Chrome estão sendo desativados. Isso significa que o Google está prestes a desistir de uma grande parte de

Assine a Newsletter

Siga-nos

© 2023 Todos os Direitos Reservados - Termos de Uso e Privacidade