[Segurança] O maior vazamento de dados brazucas de todos os tempos - da última semana

Muito se fala sobre um vazamento recente de dados, que expôs informações pessoais de mais de 220 milhões de brasileiros, incluindo nomes completos, datas de nascimento, CPF, diversos dados financeiros e de crédito, além de dados de 104 milhões de veículos e de 40 milhões de empresas. Os dados de 223.739.215 CPFs anunciados para venda em um fórum online incluíam até 37 tipos de registro (informações diferentes). Pelo tipo de informação vazada, especulou-se que a origem teria sido a Serasa, mas a empresa nega.

A imprensa tradicional e a especializada tem noticiado esse vazamento com destaque. Hoje, 02/02, foi até discutido no programa da Fátima Bernardes!

Além disso, a imprensa não cansa de nos surpreender: o portal migalhas publicou uma noticia infeliz, dando destaque que o vazamento contém dados dos ministros do STF, simplesmente ignorando os demais 220 milhões de brasileiros. E o portal Poder 360 chamou o incidente de "vazamento do fim do mundo".

Rapidamente, já surgiu um site que se propõe a dizer se o seu CPF está na base vazada (é óbvio que sim!), e qual conjunto de dados foi vazado: FuiVazado.com.br. Mas muita gente está questionando se esse site (ou similares) são confiáveis. O autor do site FuiVazado publicou o código no GitHub, e assim, ajudar a garantir a sua transparência.

O pessoal do Rio Hacker Maker Space também criou uma página para verificar se os dados de um determinado CPF vazaram: https://news.riohms.com.br/vazou/.

OBS: Os dois sites acima estão fora do ar.

Mas cuidado, o pessoal do Coding Rights deu uma dica muito importante:

Mas apesar do grande destaque que esse caso recebeu, e de sua severidade, esse não é o primeiro mega-vazamento de dados de Brasileiros e não será o último. O Ministério da Saúde e os Detrans que o digam. Há dois meses atrás, pesquisadores descobriram como acessar os dados médicos de 243 milhões de brasileiros no site do Ministério da Saúde- ou seja, mais gente do que nesse vazamento deste mês. Vale a pena lembrar alguns casos bem recentes:

• Fevereiro/2021 - Novo vazamento [de empresas de telefonia] expõe 100 milhões de contas de celular de brasileiros
• Fevereiro/2021 - Hacker põe à venda na dark web 270 milhões de registros da Dataprev
• Janeiro/2021 - Falha no site do Detran-RS expôs RG e CNH de 5,1 milhões de motoristas
• Janeiro/2021 - Detran expõe dados de milhares de motoristas multados
• Dezembro/2020 - Nova falha do Ministério da Saúde expõe dados pessoais de mais de 200 milhões de brasileiros
• Novembro/2020 - Vazamento de senha do Ministério da Saúde expõe dados de 16 milhões de pacientes de covid (Estadão) (Metrópoles)
  
• Setembro/2020 - Exclusivo: Detran PR expõe cópia de seu banco de dados com credenciais de administradores

Esses casos acima são casos recentes de vazamentos ou exposição de dados online. Mas já sabemos, há décadas, que criminosos vendem CDs com bases de dados vazados - em São Paulo, isso pode ser encontrado a venda nos camelôs da rua Santa Ifigênia, no centro da cidade. Isso sem falar que há anos ciber criminosos e fraudadores tem conseguido acesso ao INFOSEG, o grande banco de dados da secretaria de segurança pública que centraliza informações detalhadas de todos os brasileiros.

Apenas como comparação, os 430 maiores incidentes de vazamento de dados em 2019 somaram mais de 22 bilhões de credenciais vazadas - mais do que 3 vezes a população da Terra, segundo um estudo do qual participei.

Ou seja: apesar de toda a discussão que está acontecendo agora, apesar de ter quem anuncie uma "catástrofe digital'" já faz muito tempo que os nossos dados pessoais estão nas mãos dos criminosos.

E o que isso significa? Esses vazamentos podem ser utilizados pelos criminosos para roubar a identidade de suas vítimas e realizar vários tipos de golpes, como abrir conta corrente em nome de outras pessoas, pegar empréstimos, etc. De fato, segundo uma pesquisa realizada em 2020 pela PSafe, 1 em cada 5 brasileiros já foi vítima de roubo de identidade na Internet.

Infelizmente, há muito pouco o que possamos fazer depois que os nossos dados pessoais vazaram e já estão nas mãos de ciber criminosos. Como diria um velho ditado, revisado para os tempos atuais: "não adianta chorar sobre os dados vazados" :(

Isso merece um meme:

Imagem original: Foto de Jagoda Kondratiuk no Unsplash.

Para saber mais:

• Veja esse post no meu blog em 2019 - mais atual do que nunca, infelizmente!  O que fazer se você foi vítima de vazamento de dados?
• Aqui no blog: A mãe de Todos os Vazamentos!
• Olha esse post de Outubro de 2019: O maior vazamento de dados dos últimos tempos da última semana (putz, eu não tenho criatividade para título dos meus posts, né?)
• Veja também:
• Golpe do FGTS: veja como se proteger
• Você pode ter uma conta bancária e nem saber! Cuidado com seus documentos
• Descubra o que fazer em caso de vazamento de dados pessoais
• Vazamentos de dados aumentaram 493% no Brasil, mostra pesquisa do MIT
• Foi identificada uma grande coletânea de dados vazados, agrupando 3,2 bilhões de e-mails e senhas de diversos vazamentos anteriores: Largest compilation of emails and passwords leaked for free on public forum
• Algumas notícias sobre o vazamento:
• Vazamento de banco de dados expõe CPF de quase toda a população do Brasil
• Vazamento não é da Serasa, mas de uma empresa estatal, diz hacker
• Reportagem especial da The Hack: Investigamos! Tudo o que você queria saber sobre o vazamento de 220 milhões de CPFs
• O Thiago Bordini publicou um relatório detalhando a investigação sobre esse vazamento de dados: O amor vazamento de dados do Brasil. Será mesmo?
• Polêmica da Capital Digital: O perigoso jogo da desinformação sobre megavazamentos e seus reais objetivos (parte 1)
• Reportagem bem crítica, do The Intercept, sobre o assunto: Prometeram proteger sua privacidade. Agora vazaram suas informações.

PS: Gostou do meme acima, que eu criei sobre "não adianta chorar sobre os dados vazados"? Eu criei uma 2a versão dele, com outra imagem (uma foto da Daniela Díaz no Unsplash):

PS/2: Pequena atualização em 02/02. Post atualizado duas vezes em 03/02 para incluir a notícia do vazamento de 270 milhões de registros da Dataprev - veja também a nota oficial da Dataprev. Post atualizado em 04, 05, 10 e 12/02. Atualizado em 12/08/2021.

PS 3: Criei uma versão desse post em forma de artigo, no LinkedIn: Fomos vazados. E agora, quem poderá nos ajudar!?

PS 4 (adicionado em 17/02): Também criei um artigo no portal Mente Binária com uma versão desse post: O que fazer se você for vítima de vazamento de dados?

PS 5 (adicionado em 17/03): Surgiu a notícia de um novo mega-vazamento de dados pessoais de 223 milhões de brasileiros, supostamente originados do Poupatempo: Novo vazamento de 223 milhões de CPFs traz celulares, e-mails e mais dados (veja também a notícia original na Folha)