Se você nunca tinha passado por um vazamento de dados pessoais na internet porque sempre tomou todas as precauções possíveis e esquivou de todos os serviços que pisaram na bola nesses últimos anos… bem, essa invulnerabilidade terminou. Nada menos que 223 milhões de números de CPF de cidadãos brasileiros vazaram no final de janeiro na maior falha de segurança de informação já registrada no país.
Para se ter uma ideia do volume de dados comprometidos, basta saber que há mais números de CPF no arquivo do que pessoas vivas no Brasil. A tabela de nomes e CPFs não apenas possivelmente traz informações de praticamente todas as pessoas físicas ativas no país como ainda contém dados de falecidos. As chances do seu ou o meu CPF não fazer parte desse megavazamento é muito, muito baixa, a menos que seu número tenha sido registrado recentemente, antes da data em que o banco foi atualizado pela última vez.
Marco DeMello, presidente executivo da PSafe, empresa responsável pela primeira detecção do megavazamento, foi categórico: “a essa altura, todos os CPFs brasileiros estão nessa base de dados roubada. Estão lá meus familiares, meus sócios, minha equipe e qualquer coisa que eu pesquiso nos extratos. É assustador”.
Esses dados já estão sendo negociados abertamente em fóruns dos subterrâneos da internet e certamente já caíram em mãos erradas. Para piorar o nível de emergência, não estamos falando somente de CPFs. A tabela identificada apresenta e relaciona também outros dados pessoais, como nome, sexo e data de nascimento.
Além disso, pelo menos um dos arquivos que circula na web contém também dados de escolaridade, benefícios do INSS e programas sociais (como o Bolsa Família), renda e score de crédito, fotos de rosto do usuário, endereços e cadastro de veículos. São informações financeiras de extrema importância para a criação de golpes que podem causar prejuízos incalculáveis.
Na opinião dos especialistas, é extremamente complexo identificar a origem desse megavazamento. O consenso é de que os bancos de dados tenham sido consolidados a partir de diferentes fontes ao longo dos anos, possivelmente por uma empresa ou banco, dada a ausência de uma legislação específica que coibisse a prática até 2019. Em condições normais, esses dados poderiam ser empregados para operações de marketing e avaliação de crédito. Entretanto, esses arquivos teriam sido encontrados por criminosos eletrônicos, que passaram a distribuir seu conteúdo.
Riscos
O megavazamento é assustadoramente grande não somente pelo volume de informações, como também pela qualidade dos dados, contendo detalhes de identificação que não costumam aparecer nesse tipo de brecha de segurança.
A partir do que está disponível, golpes na internet, direcionados ou não, se tornam mais perigosos por serem capazes de apresentar maior personalização. Afinal, aquela mensagem afirmando que meu CPF pode ser cancelado é verdadeira ou falsa, uma vez que ela contém o número verdadeiro, meu nome completo e até minha foto? Será necessário muito bom senso, verificar a fonte da mensagem e outras medidas de segurança para evitar dores de cabeça no futuro.
Há ainda o risco do chamado “furto de identidade financeira”, quando o criminosos eletrônico se utiliza das informações que coletou para se passar por sua vítima. Desta forma, seria possível para o golpista abrir conta em bancos, solicitar empréstimos, requisitar cartão de crédito e assinar serviços em nome de terceiros, que arcariam com as consequências das operações.
Essas informações também podem ser empregadas por golpistas em ataques de engenharia social, em que a vítima é induzida a acreditar estar dialogando com um representante real de uma empresa ou serviço. Fornecendo dados reais de suas vítimas, o criminoso ganha a confiança de seu alvo e pode obter acesso a informações adicionais ou mesmo fazer com que sua vítima autorize ações prejudiciais a si mesma.
Ao contrário de um endereço de email, número de cartão de crédito ou uma senha de serviço online, que podem ser trocados com relativa facilidade, o megavazamento afeta dados pessoais que não podem ser substituídos. Não é possível fazer uma alteração do CPF de um cidadão, mesmo que esse CPF tenha sido clonado. Outros dados como rosto, renda familiar ou escolaridade tampouco são descartáveis ou substituíveis. Uma vez que é impossível remover a presença dessas informações na internet, esse risco permanecerá ativo por anos à fio.
Os primeiros casos de fraudes já estão aparecendo. Conforme apurado pela CNN Brasil, a estudante Rebecca Gompertz, de 21 anos foi uma dessas vítimas. Ela “recebeu uma mensagem de seu banco informando uma tentativa de compra no valor de R$ 13.000”. Após uma rápida investigação foi constato que seu CPF fazia parte do megavazamento.
Recomendações de especialistas
De acordo com a Norton, no caso de uma brecha de vazamento de informações financeiras, é necessário estar atento a contas de banco e cartões de crédito.
Se alguém tiver acesso não autorizado à sua conta bancária, você desejará fechar essa conta e abrir uma nova com um novo número de conta. Você também vai querer trabalhar com o banco para resolver quaisquer transações fraudulentas.
(…) Se alguém roubou o número do seu cartão de crédito, entre em contato com o emissor para alertá-lo sobre quaisquer cobranças fraudulentas. Peça a eles para encerrar a conta e emitir um novo cartão.
(…) Os ladrões virtuais podem ter reunido informações confidenciais suficientes para usar seus cartões de crédito atuais e abrir novos. É uma boa ideia tomar medidas imediatas para garantir que o uso fraudulento de seu crédito e finanças seja interrompido antes que se espalhe demais.
A Mozilla recomenda “monitorar extratos em busca de cobranças que você não reconhece”, uma dica que sempre tem validade, principalmente dado o crescimento da clonagem de cartões de crédito mesmo fora do ambiente virtual. Se você já tinha essa preocupação antes, ela agora precisa ser redobrada.
Vale lembrar que o consumidor tem seus direitos assegurados por lei, uma vez detectada a fraude. Maximiliam Fierro Paschoal, sócio de relações de consumo do escritório de advocacia Pinheiro Neto, esclarece que “em primeiro lugar, a compra e todos os cartões devem ser bloqueados. Após ser comprovada que a ação não partiu de forma intencional do cliente, o valor e eventuais danos devem ser ressarcidos”.
Em entrevista para o UOL, Rafael Zanatta, advogado diretor da Data Privacy Brasil, apresentou um caminho das pedras para quem deseja se proteger juridicamente:
As pessoas podem produzir prova, por exemplo, com um print screen [captura de tela] do [resultado da busca no] “Fui Vazado”. Também podem reunir evidências sobre tentativas de golpes sofridos, como emails falsos, golpes via SMS, alertas de abertura de cadastros em aplicativos. Com essas informações, as vítimas podem acessar anpd.gov.br, clicar em “Denúncia” e registrar o que está ocorrendo, especialmente se for suspeita de uso ilícito de dados pessoais. Além disso, as pessoas podem procurar o Procon local para apresentar evidências de que estão sofrendo danos relacionados ao vazamento.
Fui Vazado foi uma iniciativa de um programador autônomo de criar no Brasil um serviço similar ao Have I Been Pwned, um sistema de consulta para verificar se os seus dados fazem parte de um vazamento. Entretanto, para utilizar o serviço, o usuário precisa fornecer dados e acabar vítima de uma nova armadilha. Apesar da aparente idoneidade do criador do Fui Vazado, o site encontra-se inacessível desde 5 de fevereiro.
Luiz Faro, da empresa de segurança Forcepoint, alerta para outras tentativas de golpe: “toda vez que você recebe uma ligação de alguém dizendo que é de uma empresa, cheque, assuma que é uma fraude, verifique. Não faça verificação de dados com quem você não sabe quem é”. A recomendação nesse caso seria desligar a ligação e tomar a iniciativa de você mesmo entrar em contato com a instituição pelos canais oficiais de atendimento conhecidos.
Ferramenta do Banco Central
Felizmente, os brasileiros podem contar com uma ferramenta poderosa para monitorar atividades financeiras a partir do seu CPF. O serviço batizado de Registrato permite consultar quantas contas bancárias e empréstimos você possui e pode funcionar como um espaço centralizado para detectar fraudes.
Ao contrário de soluções de terceiros, o Registrato apresenta a robustez e a confiabilidade do Banco Central, assim como acesso livre a todo o sistema bancário para realizar suas consultas. Entretanto, até mesmo para garantir a segurança do usuário, o procedimento de uso pode parecer um pouco complicado.
Para utilizar o Registrato, é necessário realizar uma credenciamento prévio, seja por Internet Banking ou o aplicativo oficial da sua instituição bancária. Também é possível a utilização do e-CPF para um cadastro digital.
A partir desse credenciamento, será gerado um PIN que deverá ser empregado no site do Registrato para completar o cadastro no serviço. Completada essa etapa inicial, o usuário já pode se autenticar no sistema:
Uma vez dentro do Registrato, o usuário pode pesquisar “Meus Endividamentos” e “Meus Relacionamentos Financeiros” para ter acesso a relatórios exclusivos sobre o uso do seu CPF na rede bancária do país inteiro. Desta forma, será possível identificar de forma clara quaisquer contas abertas ou empréstimos solicitados em todas as instituições, independente da instituição que você tenha escolhido para fazer o credenciamento inicial.
A partir do momento, em que você identificar atividades suspeitas, entre em contato com o banco relacionado e/ou fale diretamente com o próprio Banco Central.