Hackers vazam 300 mil fotos de brasileiros na Deep Web; entenda os riscos

Outras fotos têm o formato de imagens usadas em documentos brasileiros. A unidade de cibersegurança da Solo Network esclareceu, no entanto, que não foi possível confirmar, até o momento, a origem das imagens.

Fotografias podem ser usadas em fraudes. Criminosos podem tentar criar contas bancárias falsas e solicitações fraudulentas de crédito, podem também facilitar fraudes avançadas com criação de deepfakes, alertaram os especialistas da Solo Iron.

Conjunto de fotos pode ser acessado por meio da compra de créditos na Deep Web. "Com aceso ao fórum [onde foi identificado o megavazamento], e utilizando esses créditos, é possível fazer o download das fotos gratuitamente", explicou Felipe Guimarães, head da equipe de cibersegurança da Solo Iron.

Risco de fraudes financeiras

Vazamento pode gerar um aumento significativo de fraudes financeiras. Guimarães detalhou que criminosos podem ter acesso a dados potenciais que permitem a criação de perfis falsos com aparência autêntica e criação de deepfakes.

"Recomendamos às empresas - principalmente do segmento financeiro - que aumentem seu nível de alerta nos próximos dias por conta do potencial de fraude, e pelo fato de que as imagens estão sendo distribuídas gratuitamente, potencializando ainda mais o possível volume de tentativas de fraude", afirmou.

O especialista declarou que não são apenas as empresas que devem ficar alerta. O head da equipe de cibersegurança da Solo Iron alertou que consumidores também devem se atentar a comunicações suspeitas de instituições financeiras - principalmente as que solicitam confirmação de dados, seja por e-mail ou telefone.

"Não é difícil, usando a busca por imagens, encontrar dados preliminares do dono da fotografia, como nome, links de redes sociais, idade, e-mail, entre outros. Por isso, em caso de qualquer contato suspeito, o consumidor deve buscar a instituição financeira, ou os órgãos de proteção ao consumidor", ressaltou.

O Brasil é um país de características únicas quando se trata do cibercrime. A Solo Iron explicou que grupos locais, com foco em fraudes financeiras, têm à sua disposição na dark web uma série de ferramentas para fraudes contra pessoas físicas, desde uso de cartões de crédito e até PIX.

Vazamento levanta sérias preocupações sobre a segurança de informações sensíveis de cidadãos brasileiros. Segundo a empresa de cibersegurança, esses criminosos têm atuado junto a atores globais, realizando extorsão financeira contra empresas brasileiras, principalmente com o uso do ransomware - um software malicioso - e sequestro de dados.

O UOL entrou em contato com a a Polícia Civil do Espírito Santo. Em nota, a corporação informou que, até o momento, não foram localizados indícios de vazamento de fotos sigilosas capturadas pela corporação, "Não temos nenhuma informação de vazamento do banco de dados da instituição", diz comunicado.

A reportagem também entrou em contato com a ANPD (Autoridade Nacional de Proteção de Dados), órgão do governo federal responsável por investigar vazamentos de dados pessoais, e aguardo retorno.

Rastreamento de responsáveis pelo vazamento é complexo

A ABRASECI (Associação Brasileira de Segurança Cibernética) afirmou que está ciente do megavazamento. Hiago Kin, presidente da instituição, explicou que o rastreamento de quem publica ou compartilha dados "é complexo" e exige recursos avançados de investigação cibernética. "Em muitos casos, as autoridades utilizam táticas de infiltração em fóruns e redes privadas para identificar padrões e tentar localizar os responsáveis", disse.

O objetivo de quem compartilha esses dados geralmente é lucrar ou colaborar com outros cibercriminosos, segundo explicou Kin. Ele acrescentou que as finalidades são diversas, desde fraudes financeiras até a criação de materiais manipulados, como deepfakes.

As autoridades podem ser responsabilizadas pelo vazamento. O presidente da ABRASECI pontuou que, caso seja comprovado que o vazamento teve origem em bancos de dados policiais, as instituições responsáveis podem ser responsabilizadas com base na LGPD (Lei Geral de Proteção de Dados). A lei exige que os controladores de dados, inclusive órgãos públicos, garantam a segurança e integridade dos dados que administram. A responsabilidade pode implicar sanções e multas.

Associação não tem informações sobre a origem do vazamento. Kin confirmou os indícios de que parte delas possa ter sido obtida de bancos de dados policiais. "Esse aspecto precisa ser investigado de forma rigorosa pelas autoridades competentes para que se possa entender como essas informações foram comprometidas e por quem", alertou.

Como se proteger após o vazamento?

Pessoas físicas devem redobrar atenção. O presidente Associação Brasileira de Segurança Cibernética orientou que para pessoas físicas, é fundamental evitar compartilhar documentos ou fotos com desconhecidos e manter os dispositivos protegidos com senhas fortes e autenticação em duas etapas.

Empresas e órgãos públicos devem investir em protocolos de segurança mais robustos. Para evitar esse tipo de megavazamento, as instituições podem apostar no uso de criptografia e monitoramento constante dos sistemas, avaliou Kin. "Auditorias de segurança e o treinamento de funcionários para identificar tentativas de acesso não autorizado também são medidas essenciais", disse.

Consequências para quem vaza esse tipo de informação podem ser graves. No Brasil, o vazamento de dados pessoais sem autorização é um crime que pode levar a multas e até a pena de prisão, dependendo do caso. Além disso, a exposição desses dados pode deixar os envolvidos em situações de risco, como represálias e processos judiciais, especialmente se forem identificados e responsabilizados por danos a terceiros.