Vazam dados de 220 milhões de CPFs, como score, IRPF e endereços; origem pode ser Serasa, que ainda não confirmou

Na semana passada, o dfndr lab, laboratório especializado em segurança digital da startup PSafe, revelou um vazamento de dados de proporções gigantescas: são listados mais de 223 milhões de CPFs. Junto deles estão informações detalhadas de cidadãos brasileiros: nome, endereço, renda, imposto de renda, fotos, participantes do Bolsa Família, scores de crédito e muito mais – os dados foram compilados em agosto de 2019. O volume de números de CPF é maior do que o da população brasileira, pois foram incluídas na base informações de pessoas que já morreram. Além disso, mais de 40 milhões de números de CNPJ, com informações atrelados a eles, também foram disponibilizados. Tudo está à venda em fóruns na internet. 

Ainda não é possível saber a origem do vazamento, mas há indícios de que as informações pertençam à base de dados do Serasa – o Estadão teve acesso a parte dos dados e encontrou documentos e menções ao birô de avaliação de crédito. Uma das bases de dados supostamente pertence ao Mosaic, serviço do Serasa. Por enquanto, a empresa tem negado ser a origem do vazamento, e diz estar investigando o caso.

Diz a nota da empresa: “Estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web. Conduzimos uma extensa investigação e neste momento nenhum dos dados que analisamos indicam que a Serasa seja a fonte. Muitos dos dados analisados incluem elementos que não temos em nosso sistema e os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos.”

Para Bruno Bioni, fundador e professor do Data Privacy Brasil, esse pode não ser apenas o maior, mas também o mais lesivo vazamento de dados do Brasil. Ele compara  ao caso Equifax, birô de crédito americano que viu os dados de 145 milhões de pessoas vazarem em 2017, o que rendeu um acordo de US$ 650 milhões com a Federal Trade Comission (FTC), agência responsável nos EUA por representar o direito do consumidor em casos de vazamento de dados.   

Bioni diz que o momento é de pensar em um plano de contingência – para ele, o caso será o primeiro grande teste da Autoridade Nacional de Proteção de Dados (ANPD). Embora as multas da Lei Geral de Proteção de Dados (LGPD) possam ser aplicadas apenas a partir de agosto, ele aponta caminhos de atuação da agência. Além disso, Bioni lembra que órgãos de proteção do consumidor, como a Secretaria Nacional do Consumidor (Senacon) podem atuar com base no Código de Defesa do Consumidor. Veja os principais momentos da conversa.    

Em uma análise inicial, é possível dizer que trata-se do maior ou do mais importante vazamento de dados no Brasil?

Pelo que temos de informação, sim. Além disso, o conjunto de informações é grande e isso o torna o mais lesivo incidente de segurança do Brasil. A granularidade das informações revela muito sobre a população brasileira. CPFs, nomes, foto, renda e até scores de crédito estão lá. É um conjunto de informações muito rico sobre as pessoas. Isso torna o incidente de segurança mais crítico, mais lesivo, como a gente não havia visto até então no Brasil.

Diante de todas as informações que estão nesse pacote, o que pode acontecer com os cidadãos? Quais são os riscos a partir de agora?

Esse é um caso aparentemente similar ao vazamento de dados da Equifax, em 2017. Não temos a confirmação de que trata-se de uma base de dados do Serasa, mas é justamente um pacote com muitas informações. Quando você olha para essa riqueza de dados, fica muito fácil praticar aquilo que se chama de “roubo de identidade”. Muitas vezes, esses dados permitem fraudes na rede bancária e até em outras financeiras. Esse é um primeiro risco, mas há outros tipos de uso para esses dados que nem conseguimos imaginar.