Topo

Hacker põe base de dados de 8 milhões de brasileiros à venda por R$ 1.720

Dados foram coletados a partir de falhas no Facebook - Getty Images/iStockphoto
Dados foram coletados a partir de falhas no Facebook Imagem: Getty Images/iStockphoto

Renata Baptista

De Tilt, em São Paulo

18/02/2021 04h00

Um banco com dados de 8 milhões de brasileiros — entre eles número de telefone, endereço de trabalho e residência e informações do perfil do Facebook (incluindo fotografias) — foi colocado à venda em um fórum cibercriminoso, por US$ 320 (cerca de R$ 1.720, na cotação atual).

A empresa de consultoria digital HarpiaTech confirmou que os dados eram verdadeiros e explicou que as informações integravam um vazamento global de 990 milhões de perfis do Facebook, obtido por meio de falhas na rede social que permitiram a coleta de dados — como nome, telefone, sexo, estado civil, local de trabalho e data da última atividade do perfil — entre 2018 e 2019.

"A partir de uma amostra de 50 perfis, comparamos as fotos do Facebook com as fotos do WhatsApp do número de telefone dado e constatamos que eram da mesma pessoa", diz Filipe Soares, sócio da HarpiaTech, explicando como a checagem de dados foi feita.

O preço pedido era de US$ 40 (cerca de R$ 215) pelas informações de cada milhão de perfis, que deveria ser pago em bitcoins. O anúncio foi feito na semana passada, em um fórum da internet. Segundo Filipe Soares, o hacker se comunicava em inglês fluente e em sua foto de perfil havia uma foto de Mark Zuckerberg, cofundador e chefe do Facebook. "O que claramente é uma piadinha", afirma.

A HarpiaTech disse que vai entregar um relatório com todas as informações sobre o caso para a ANPD (Autoridade Nacional de Proteção de Dados), Polícia Federal e para o Ministério Publico do Distrito Federal, onde fica a sede da empresa.

Riscos e dicas

Diante dos grandes vazamentos de dados divulgados recentemente, Filipe destaca que o cruzamento de informações das bases aumenta a possibilidades de fraudes para criminosos.

"Se alguém correlacionar as informações de um perfil do Facebook com os dados vazados no megavazamento de janeiro, como CPF e endereço, um criminoso poderia abrir uma conta em um banco digital que pede uma selfie para validar a abertura da conta, por exemplo", afirma Filipe, que é ex-oficial da Abin (Agência Brasileira de Inteligência).

Além da abertura de contas, um fraudador conseguiria ainda pedir saque emergencial do FGTS e outros auxílios, e contas telefônicas. Um outro risco é o uso de dados para a prática de phishing ou para os crimes de engenharia social.

Para diminuir os possíveis fraudes com os vazamentos, o sócio da HarpiaTech dá algumas dicas:

  • Redobrar a atenção para evitar casos de phishing ou spear phishing baseados nos dados vazados -- seja por telefonemas, mensagens ou email;
  • Ativar a autenticação de duas etapas em todas as plataformas que você usa e que tenham essa função;
  • Usar o site Have I Been Pwned? em caso de vazamento de emails para checar a extensão dos danos;
  • Consultar o Registrato, plataforma do Banco Central que reúne não apenas todas as contas em instituições financeiras vinculadas ao CPF, como também mostra se há empréstimos ou dívidas de cartão no seu nome, e notificar as instituições cujas contas não reconhecer;
  • Ficar sempre atento às configurações de privacidade nas redes sociais, optando por não disponibilizar dados ou imagens para quem não seja contato ou parte da sua rede de contatos.