Site expõe 426 milhões de dados de brasileiros; ANPD confirma denúncia

Mais uma vez, pesquisadores de segurança encontraram um site público que reúne dados pessoais de milhões de brasileiros. A página descoberta permite consultar cerca de 426 milhões de informações pessoais e 109 milhões de dados de CNPJs e placas de veículos no Brasil, segundo a empresa de segurança digital PSafe.

Há ainda informações como nome, CPF, endereço, gênero, data de nascimento, email e renda de pessoas físicas. De acordo com a companhia, o site usa inteligência artificial para fazer frequentes varreduras na internet aberta e na deep web (a parte "invisível" da internet) para encontrar novas informações pessoais de brasileiros e agrupá-las num só lugar.

Dados referentes a contratos com empresas de telefonia e TV por assinatura, como número de telefone fixo e móvel, tipo de plano contratado, data de contratação e forma de pagamento também constam disponíveis nesse site. A presença dessas informações envolvendo operadoras de telefonia aponta indício de que pelo menos uma parte dos dados no site tenha vindo de vazamentos de empresas do setor, diz a PSafe.

"Estamos falando de uma super base, provavelmente enriquecida a partir do compilado de outros possíveis vazamentos", explicou Emilio Simoni, executivo-chefe de segurança da empresa, em comunicado divulgado por ela.

"Nas mãos dos cibercriminosos, esses dados são um prato cheio para a aplicação de golpes de engenharia social, que é quando os golpistas utilizam essas informações para enganar as vítimas a tomar uma ação que irá prejudicá-la", acrescentou.

A PSafe afirma ter elaborado um relatório e encaminhado uma denúncia formal à ANPD (Autoridade Nacional de Proteção de Dados), responsável por fiscalizar e aplicar punições em casos de vazamentos, mas a empresa não teria recebido resposta até o momento.

Procurada por Tilt, a ANPD confirmou ter recebido a denúncia, mas diz que não pode divulgar o conteúdo do relatório em respeito à LGPD (Lei Geral de Proteção de Dados).

Citando motivos de ética e segurança, a PSafe não compartilhou o nome, link ou imagens do site, mas afirmou que a página continua no ar até o momento em que este texto é publicado.

Outros especialistas em segurança consultados por Tilt não puderam corroborar a denúncia da PSafe pela falta de detalhes sobre o caso. "Não há indícios de que esta página exista, além das que já existem e estão disponíveis para a venda", diz Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética) e presidente executivo da empresa Decript.

Kin diz que a Abraseci vai notificar a PSafe pedindo detalhes e evidências da descoberta.

Atualização às 15h45 de 28/09/2021

Em nota enviada a Tilt após a publicação desta reportagem, a PSafe diz que não divulga mais detalhes sobre a descoberta também por conta da LGPD. "Ao detectar algum indício ou ameaça de um possível incidente de segurança envolvendo dados pessoais, a PSafe informa imediatamente a ANPD de forma mais detalhada, e posteriormente a imprensa de forma restrita, visando alertar a sociedade sobre os riscos de possíveis golpes envolvendo ciberataques com dados obtidos de forma escusa."

"Com exceção das autoridades públicas competentes, a PSafe entende que a divulgação não autorizada de dados pessoais ou onde estes podem sem ser encontrados, sem as devidas autorizações é ilegal", diz a empresa.

Como se proteger

Segundo a empresa de segurança digital, com esses dados já estão compilados e circulando pela web, é importante que as pessoas fiquem alertas para tentativas de golpe, como ligações ou mensagens de texto suspeitas.

É importante ficar atento e verificar contas bancárias. Se surgirem registros de transações, empréstimos e contratação indevida de serviços, entre imediatamente em contato com a instituição financeira.

Especialistas em segurança também deixam as seguintes dicas:

• Trocar frequentemente suas senhas e criar um segundo fator de autenticação em emails, serviços de mensagens e redes sociais. Isso dificulta o acesso de criminosos porque eles precisariam descobrir essa segunda senha no processo do golpe;
• Não clicar em links suspeitos que tenham sido encaminhados em seu telefone ou email;
• Não abrir email de destinatários desconhecidos;
• Instalar uma solução de proteção em seu dispositivo;
• Desconfiar de cobranças ou avisos que chegarem por meios digitais ou físicos.