domingo 20 junho 2021
Manchete

Hacker oferta base com dados de 223 milhões de brasileiros atribuída ao Poupatempo

A direção do Poupatempo garante que não houve qualquer vazamento de dados a partir de seus terminais 

 Paula Soprana (De S. Paulo)

Programa paulista nega qualquer vazamento; emails e endereços estão no pacote

Quase dois meses após o megavazamento de dados, uma base com o mesmo número de CPFs (223 milhões) oferece nome completo, email, endereço, celular, sexo e data de nascimento de milhões de brasileiros a um preço de cerca de R$ 95 mil (convertidos de 0,3 bitcoin) em um fórum da internet.

O pacote, que tem uma amostra de 10 milhões de dados para “degustação”, é atribuído ao Poupatempo, programa paulista que oferece serviços públicos como emissão de carteira de identidade e de habilitação.

Procurado, o Poupatempo afirma que não passou por qualquer tipo de incidente de segurança. “A Prodesp, empresa de tecnologia do governo de São Paulo, esclarece que não houve vazamento de dados de qualquer terminal do programa Poupatempo. A companhia adota rígidos controles e regras de acesso ao sistema de dados, que é monitorado 24 horas por dia em tempo real pelas equipes de TI”, disse em nota.

A empresa acrescenta que “em mais de cinco décadas, e de inúmeras tentativas diárias, nunca houve vazamento de dados”.

A reportagem também procurou o programa de nome semelhante no Rio (“Rio Poupa Tempo”), mas não obteve resposta até a publicação do texto.

No compilado, há muitos registros duplicados, o que indica que o número de dados válidos seja menor do que o anunciado. A quantidade de dados também supera a população brasileira.

A empresa de cibersegurança Cipher validou as informações de titulares com autorização dos mesmos. A Folha verificou alguns registros da amostra e eles condizem com as identidades das pessoas. A base tem CPFs de moradores de outros estados do Brasil.

INTELIGÊNCIA CIBERNÉTICA

“É provável que haja um agregador dAS diferentes bases vazadas”, afirma Fernando Amatte, diretor de inteligência cibernética na Cipher.

Isso significa que os dados vazados recentemente em fóruns da internet podem estar circulando entre diferentes hackers, que os agregam a outras bases e vendem a diferentes segmentos do cibercrime.

“O ator filtra os dados e vende as bases com um recorte segmentado. Para alguém que trabalha com spam, é interessante saber nome completo e email, por exemplo. Já o criminoso com foco em cartão de crédito e compra de internet precisa ter outra validação, como o CEP da cobrança”, diz.

Por mais que o pacote seja oferecido com o nome do serviço paulista não significa que os dados saíram de lá. Segundo especialistas, é provável que haja uma reunião de informações provenientes de diversas fontes ao longo dos últimos meses ou até anos.

Desde janeiro, outros vazamentos expuseram dados de milhões de brasileiros. O primeiro pacote continha CPF, nome completo, sexo e data de nascimento. Depois, vazaram dados de CNPJ e de habilitação de motorista.

Um pacote dizia conter dados mais amplos, como score de crédito e fotos de rosto. Ele foi ofertado como proveniente do Serasa, mas não há comprovação nessa linha e poucas pessoas tiveram a acesso a tais dados.

O caso é investigado pela Polícia Federal e pela ANPD (Agência Nacional de Proteção de Dados).

Também surgiram em fóruns ofertas recentes de números de celulares e senhas de e-mail.

Dois pontos têm chamado a atenção de empresas de segurança: o enriquecimento das bases e a comercialização em sites indexados por buscadores como o Google (não sendo necessário recorrer à deep web para a compra). A mera comercialização de dados pessoais não é uma novidade no cibercrime.

A LGPD (Lei Geral de Proteção de Dados), em vigor desde setembro do ano passado, determina que empresas estatais ou privadas notifiquem titulares de dados após qualquer tipo de incidente que coloque em risco a exposição de informações pessoais.

Fonte: Folha de S. Paulo 

Desenvolvido por Enzo Nagata