Um vazamento de dados deixou expostos 426 milhões de dados pessoais e 109 milhões de informações de CNPJs e placas de veículos. Tudo isso estava em um banco de dados que poderia ser encontrado e consultado por qualquer pessoa com acesso à internet — bastava acessar o site e fazer uma busca.
O banco contem informações como nome, CPF, endereço, gênero, data de nascimento, e-mail e renda de pessoas físicas, além de contratos com empresas de telefonia e TV, com números, tipo de plano, data de contratação e forma de pagamento, entre outros. Por isso, acredita-se que ele esteja relacionado a vazamentos de empresas de telecomunicações.
O incidente foi descoberto pelo laboratório de segurança digital PSafe. A empresa diz que sua ferramenta dfndr enterprise é capaz de fazer varreduras na internet aberta e também na deep web e na dark web, usando inteligência artificial para detectar dados expostos.
Em comunicado, a companhia diz ter elaborado um relatório e encaminhado à Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável por fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD). Desde agosto de 2021, ela pode multar empresas que desrespeitem essa lei.
Segundo Emilio Simoni, executivo-chefe de segurança da PSafe, o banco de dados foi encontrado pelo dfndr lab da empresa em 19 de setembro. Como engloba muitos dados pessoais, Simoni cogita que ele seja um compilado de outros possíveis vazamentos.
O principal risco é a aplicação de golpes: de posse dessas informações, cibercriminosos podem usar engenharia social para entrar em contato com vítimas por mensagens e telefonemas e conquistar a confiança para tirar dinheiro. Outra possibilidade é a contratação de serviços e empréstimos não-autorizados.
Vazamentos anteriores tinham informações parecidas
As suspeitas de que este banco de dados seja um enriquecido por vazamentos anteriores e esteja ligado a empresas de telefonia fazem lembrar um incidente de fevereiro de 2021. Na ocasião, 100 milhões de números de telefone foram expostos na dark web. Entre eles, estavam o do Presidente da República, Jair Bolsonaro, e os dos apresentadores William Bonner e Fátima Bernardes. Naquele episódio, o cibercriminoso alegou ter também informações de contas de telefone, dívidas em aberto e valor de faturas.
O episódio de fevereiro de 2021 não é o único que tem dados parecidos aos desse. Em janeiro, um vazamento revelado pelo Tecnoblog trazia placas e mais informações — como chassi, marca e modelo, cor, tipo de carroceria e modelo/ano, além de dados do proprietário e da compra — de mais de 100 milhões de veículos, praticamente todos os existentes no Brasil.
Fonte PSafe