No final de janeiro deste ano, a notícia do maior vazamento de dados do Brasil estourou na grande mídia causando desconforto e preocupação em toda a população brasileira foram expostas informações confidenciais de mais de 220 milhões de pessoas. Para se ter uma ideia desse número, atualmente o IBGE calcula a população total do país em pouco mais de 212 milhões, significando que o vazamento potencialmente abrangeu não apenas todos os cidadãos vivos, como também alguns já falecidos.
Em um primeiro momento, acreditava-se que apenas CPF, nome, data de nascimento e gênero das vítimas haviam sido divulgados, mas em investigação posterior pelo site Tecnoblog, constatou-se que o caso era ainda pior: no conjunto de dados vazados constavam ainda foto de rosto, endereço, telefone, e-mail, salário e score de crédito, entre outros dados. Ainda não se sabe a origem do vazamento, mas alguns apontam a Serasa Experian como possível fonte.
Dois episódios relacionados
Os especialistas analisam que, na verdade, o caso é resultado de dois vazamentos distintos, mas associados. O primeiro inclui menos dados e se encontra disponível gratuitamente na internet em um fórum famoso por esse tipo de divulgação. Pesando cerca de 14 GB, o arquivo traz informações confidenciais de 223,74 milhões de pessoas e foi compilado em agosto de 2019.
Já o segundo episódio, muito mais detalhado, abrange a mesma quantidade de pessoas, mas não está disponível de forma gratuita na rede. Quem desejar acessar o banco de dados em sua íntegra deve pagar de 0,075 a 1 dólar por CPF. O pacote de dados inclui todas as informações sobre o dono do CPF listado, desde RG, lista de parentes e endereço completo até nível de escolaridade, salário, renda e status no INSS.
Os riscos para a população
Com a divulgação desses dados, as pessoas ficam mais sujeitas a alguns tipos de golpe e fraude. É possível, por exemplo, que agentes mal-intencionados cometam crimes se passando por outra pessoa, como tentar abrir contas bancárias, sacar indevidamente o Fundo de Garantia do Tempo de Serviço (FGTS) ou se cadastrar em programas de benefício social fazendo uso de documentos falsos.
Há ainda a possibilidade de que criminosos usem esses dados para enganar os cidadãos em golpes envolvendo cobranças falsas de boletos e faturas. É a chamada tática de phishing. Por meio dela, golpistas enviam e-mails às vítimas mencionando alguns dos dados vazados para ganhar credibilidade e convencê-las a pagar esses documentos falsos, fazendo-se passar por bancos, prestadoras de serviços ou mesmo órgãos públicos.
Por isso, experts em segurança digital sempre aconselham que os usuários confirmem com um canal confiável (por telefone, por exemplo) se o boleto ou fatura é legítimo.
Prevenção é o melhor remédio
Diante do escândalo do vazamento, muitas pessoas se perguntaram se havia meios de evitar o incidente. Embora não seja possível garantir com certeza que ataques do tipo sejam evitados, existem muitas estratégias que os usuários da internet podem empregar para se proteger contra eles.
A base de toda forma de segurança é a prevenção. Assim, caso queiram proteger-se contra vazamentos de dados, a primeira regra para todos os usuários é adotar um comportamento discreto na rede. O compartilhamento excessivo de informações nas redes sociais é uma grande fonte de problemas, porque possibilita que hackers consigam “adivinhar” suas senhas ou dados de acesso, ou nos piores casos, tenham acesso livre ao seu nome, número de telefone e endereço residencial.
Outra tática é não usar conexões Wi-Fi públicas. Essas redes são altamente inseguras e podem dar a agentes mal-intencionados uma via direta para a coleta de dados dos seus dispositivos. Em último caso, é recomendável usar uma VPN ao se conectar a essas redes. No mercado há muitas opções de VPN com teste grátis para o usuário experimentar, então não há desculpas para não usar o serviço.
Punição aos responsáveis
Em nota oficial, a companhia que relatou o ocorrido, a brasileira PSafe, não divulgou o nome de nenhum dos possíveis responsáveis pelo incidente (embora a Serasa Experian tenha sido informalmente apontada como fonte dos dados), nem tão pouco apresentou hipóteses de como essas informações poderiam ter sido vazadas. Isto é, se foi um caso de violação de segurança, invasão hacker ou acesso facilitado.
De qualquer maneira, a responsabilidade do fato pode ser bastante pesada para a empresa que, por fim, for considerada como causadora. Segundo a Lei Geral de Proteção de Dados Pessoais brasileira, vigente desde setembro do ano passado, a sanção para uma falha desse porte pode somar uma multa de até 50 milhões de reais.