Na última quinta-feira (25), um hacker anunciou em um fórum na internet que colocava à venda os dados de mais de 12 milhões de brasileiros, incluindo o número e senha de cartão de crédito. O pacote, com informações potencialmente obtidas em fevereiro de 2021, custava US$ 50 mil (R$ 273 mil).
Além dos cartões de crédito, há dados correlacionados, como nome, email, telefone, CPF ou CNPJ. A informação foi noticiada pelo jornal Estadão e confirmada pela reportagem.
O pacote não foi anunciado na deep web, seção oculta da internet que não é indexada em sites de busca, como o Google, onde costumam ocorrer essas vendas. No entanto, isso não significa que não esteja disponível nessa área. A reportagem confirmou com a empresa de cibersegurança Syhunt a relação de nomes das pessoas com os cartões de crédito.
Leia mais:
Mandantes de assassinato de Marielle prometeram lotes para executor do crime
Turma do STF forma maioria para manter prisão de suspeitos de mandar matar Marielle
Lula orienta governo a tratar caso Marielle com sobriedade e a valorizar trabalho da PF
Primeira Constituição, outorgada há 200 anos, lançou as bases do Estado brasileiro independente
Em um primeiro momento, é impossível comprovar se as informações anunciadas são factíveis. O hacker exibe de modo rasurado, uma forma de não evidenciar o conteúdo de sua venda.
Especialistas dizem que alguns indícios podem ser considerados em casos do tipo. Nesse caso, o hacker, ou o coletivo de hackers, com pseudônimo "gneziol", tem credibilidade dentro do fórum. Procurado, ele não se manifestou.
Segundo o anúncio, as informações foram capturadas por marcas da empresa Eduzz, uma plataforma que auxilia empreendedores com melhora de performance em vendas online. A empresa não se manifestou até a publicação deste texto.
Não há paralelo evidente entre esse vazamento e os anteriores, como o que ocorreu em janeiro deste ano e expôs cerca de 220 milhões de CPFs e uma série de documentos pessoais, além de outro episódio em que ocorreu o vazamento de 100 milhões de contas de celular. Há possibilidade, entretanto, de que essas bases sejam compiladas e agregadas, fornecendo ainda mais risco aos consumidores.
"Alguns vazamentos podem contribuir para que outros ocorram, e aí vira um efeito dominó. Os dados de diferentes vazamentos podem ser agregados. Com a senha, é possível chegar a uma conta administrativa vazada de outra leva, e conseguir acessá-la, por exemplo", diz Felipe Daragon, da Syhunt.
A recomendação inicial para qualquer pessoa que possua cartão de crédito é ficar atento a movimentações financeiras e alterar a senha de acesso do aplicativo e do próprio cartão. Qualquer compra diferenciada deve ser registrada para eventual contestação no banco.
O pagamento aos vendedores de dados costuma ser feito com criptomoedas, impossíveis de rastrear.
De acordo com a LGDP (Lei Geral de Proteção de Dados), se a empresa identificar que houve violação cibernética em seu sistema, deve informar a clientes e potenciais cidadãos afetados. As multas da nova legislação estão previstas apenas a partir de agosto.
Procurada, a ANDP (Autoridade de Proteção de Dados), ainda não se manifestou.