Megavazamento de dados podem durar anos até você ser afetado e sofrer um golpe virtual

Segundo os executivos, o material exposto, que conta com o número do CPF, data de nascimento, nome completo e outras informações pessoais de mais de 220 milhões de brasileiros, pode acabar gerando inúmeros casos de fraudes, como criação de contas e CNPJs falsos em instituições financeiras e no varejo para lavagem de dinheiro.

O vazamento de dados foi descoberto pelo dfndr lab, laboratório de cibersegurança da Psafe, em 19 de janeiro. O número de pessoas expostas é maior do que o total de habitantes do Brasil, de aproximadamente 212 milhões -o que, segundo a companhia, indica que o vazamento pode incluir informações de pessoas que já morreram e CPFs inativos.

Por meio de sua assessoria de imprensa, a Psafe afirmou que ainda não foi possível identificar a que período os dados da base vazada correspondem e nem qual foi a fonte dessas informações.

O vazamento também teria exposto informações detalhadas sobre 104 milhões de veículos, contendo número do chassi, placa do automóvel, município, cor, marca, modelo, ano de fabricação, cilindradas e o tipo de combustível utilizado.

Ainda teriam sido vazados dados de 40 milhões de empresas, como CNPJ, razão social, nome fantasia e data de fundação.

Segundo a dfndr lab, os pesquisadores seguem investigando como essas informações teriam sido obtidas. Ainda não há detalhes ou informações sobre os responsáveis.

Para o presidente da Incognia, André Ferraz, o principal risco dos consumidores está associado a possíveis perdas financeiras.

O que fazer para minimizar os danos

Fique mais desconfiado – sua segurança depende disso. Informações que você achava que eram privadas não são mais. Seu CPF, por exemplo. Fique atento com contatos comerciais, mesmo que eles usem seus dados para confirmar sua suposta idoneidade.

Cuide de suas senhas – especialmente as que estão atreladas ao seu CPF. Procure os sites onde você informou esses dados, porque eles agora podem ser públicos, e troque todas as senhas.

Coloque autenticação de dois fatores em suas contas – no WhatsApp, por exemplo. Com isso, mesmo com sua senha ou CPF, é preciso digitar um código gerado no seu celular para acessar o serviço. Só isso não garante a segurança, mas é mais uma barreira para evitar ataques.

Esses cuidados devem ser mantidos por muito tempo –talvez anos. Uma vez cedidos, os dados não podem ser recuperados. E não se sabe quem teve acesso a essas informações.

“Uma vez que a informação está exposta, não tem mais jeito, não tem como desfazer. Isso significa que mesmo que os dados tenham vazado agora, eles podem ficar expostos por anos na internet. Alguns efeitos podem aparecer agora, outros só daqui cinco anos ou até depois”, afirmou.

De acordo com o sócio do Galdino & Coelho Advogados, Pablo Cerdeira, apesar de os impactos ainda serem difíceis de mensurar, os consumidores podem recorrer à Justiça caso tenham se sentido prejudicados com a exposição dos dados.

“Tudo, claro, depende da comprovação de quem era o detentor desses dados. Mas uma vez que seja possível comprovar a origem do problema, os consumidores podem recorrer ao Judiciário. A empresa acusada pode receber multas e até ser suspensa de tratar dados”, disse Cerdeira.

Além disso, a partir de agosto deste ano, a LGPD (Lei Geral de Proteção de Dados) vai prever penalizações para este tipo de vazamento, que vão desde sanções administrativas a multas de até R$ 50 milhões por infração para as companhias responsáveis.

Como seus dados podem ser usados?

Criminosos podem usar os seus dados para criar contas falsas.

Pedir cartão de crédito em seu nome – Fazer compras. Também podem roubar suas contas: terão todos os dados para isso. Mesmo se você tiver autenticação em dois fatores, eles terão o seu celular – que pode ser clonado para que o SMS de confirmação seja interceptado.

Também podem aplicar golpes usando suas informações pessoais – eles saberão tudo sobre você e podem ligar se passando por um atendente de uma empresa e terão todo o seu histórico para confirmar. Tudo isso sem mencionar o risco que correm pessoas públicas, políticos, ativistas e comunicadores ameaçados. Suas fotos, endereços, salários: está tudo exposto.

Para os executivos do setor, as pessoas e empresas que tiveram suas informações vazadas ficam de mãos atadas quanto a essas informações.

“Trocar de senha ajuda, mas não resolve tudo. Não há muito o que fazer depois que os dados estão expostos”, disse o vice-presidente da Opentex na América Latina, Roberto Regente Junior.

Segundo Ferraz, as atitudes precisam ser preventivas. “Mesmo ao receber uma ligação em nome de uma empresa, em que o atendente te trate pelo nome e te passe informações pessoais como CPF ou o nome dos pais, será necessário tomar cuidado”, disse.

De onde veio essa base de dados?

Com a aprovação do Cadastro Positivo, o governo também deu o sinal verde para os birôs de crédito engordarem suas bases com todos os brasileiros. Em um decreto de julho de 2019, Bolsonaro criou as regras para atuação das empresas responsáveis por coletar e analisar os dados usados para criar o Cadastro Positivo.

Patrimônio líquido de R$ 100 milhões e avisar as autoridades em casos de vazamentos são duas delas. Quatro data brokers se qualificaram para operar os bancos de dados: Serasa, SPC Brasil, Boa Vista e Quod, uma empresa criada pelos cinco principais bancos só para isso.

Do lado das empresas, a saída é fazer investir em segurança de dados ou criar bases descentralizadas -uma com informações apenas de pessoas do Rio de Janeiro, outra de São Paulo, outra de Belo Horizonte e assim por diante, por exemplo.

“Mesmo que não seja possível evitar um vazamento de dados, pelo menos os danos seriam menores”, afirmou Cerdeira.

“O dado não tem data de validade ou de expiração, mas chega um momento em que não precisam mais ficar online ou que têm menor uso. As companhias poderiam, então, separar essas informações para ambientes mais controlados. É preciso ter em mente que essa é uma guerra contínua”, disse Regente Junior.