Em uma reportagem escrita por Felipe Ventura, o portal Tecnoblog denuncia um vazamento de dados que expôs 223,74 milhões de brasileiros. Segundo contam, pensava-se que os dados disponibilizados eram apenas nome e CPF, mas segundo a apuração do site, o buraco é bem mais embaixo.
O Vazamento do Fim do Mundo
Inicialmente, pensava-se que os dados disponibilizados eram apenas o CPF e nome completo. O que por si já é um grande vazamento. Mas a apuração do site indicou que o vazamento seria muito pior. Chamado de “vazamento do fim do mundo”, a exposição contaria com CPF, nome, gênero, estado civil, e-mail, telefone, endereço, ocupação, emprego, salário, renda, score de crédito e outras diversas informações.
O nome tem um motivo, as informações são tantas e com tantos detalhes que após este vazamento, não há quase mais nada a ser vazado. Outro detalhe é a quantidade de pessoas afetadas. Estima-se que ela afete mais de 223 milhões de brasileiros. Se você ainda não sacou, eu explico: a atual população brasileira é de 212 milhões, 11 mi a menos do que os dados apontam. Ou seja, o vazamento conta com informações de falecidos e possivelmente até de estrangeiros.
Os riscos
Por si só, CPF e nome já dão um belo banquete para os criminosos, mas as informações vazadas são tantas que dão aos oportunistas tudo o que eles precisam para fazerem o que quiserem.
Imagine alguém que sabe seu endereço completo, quanto você ganha, quem mora com você, se você deve na praça. Um verdadeiro catálogo de vítimas para golpistas. Pior, um catálogo para crimes ainda mais graves, como extorsão e sequestro.
Com não muito esforço, e em posse desses dados, é possível até mesmo criar contas em bancos, pegar empréstimos, realizar compras. Um verdadeiro filme de terror na vida da vítima.
A fonte
Não se sabe bem a fonte do vazamento. A investigação realizada pelo portal especula que os dados tenham origem na empresa Serasa Experian, mas só foram de fato expostos ao público em fóruns abertos na internet (na surface web, pois era possível encontrar o vazamento através de pesquisa no google).
A empresa diz que conduz investigações, mas que até o momento não vê indícios de que seja a fonte.
A primeira indexação do conteúdo na web teria sido em agosto de 2019, com uma prévia disponível. Para os interessados, o custo para adquirir esses dados era de mais ou menos 1 dólar, pago em bitcoin, por CPF.
Dados: o novo ouro
Não é novidade para ninguém, informação é poder, e os dados são as grandes pepitas de informação. Google, Facebook, Amazon, todas as Big Techs disputam para pescar e armazenar a maior quantidade de informações que podem sobre nós, e isso acendeu um grande alerta das comunidades nacionais e internacionais: se informação é poder, qual é o poder dessas empresas na nossa sociedade com todos esse nossos dados?
Foi pensando nisso que a União Europeia aprovou a GDPR — General Data Protection Regulation (ou Regulamento geral de proteção de dados). A lei cria regras sobre a privacidade e proteção de dados de cidadãos da União Europeia e Espaço Econômico Europeu.
O movimento pegou e também chegou no Brasil, que em 2018 aprovou a LGPD — Lei Geral de Proteção de Dados. O objetivo é o mesmo, o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento das pessoas e empresas.
A LGPD e o Vazamento de dados
A Lei de proteção de dados brasileira é um marco importante. Ela diz sobre direitos e deveres sobre a proteção desses dados (sejam os dados preenchidos em formulários ou dados de consumo e hábitos). Melhor dizendo, a lei estabelece os cuidados que os responsáveis por esses dados devem ter e quais usos podem ser feitos.
A lei foi pensada justamente para prevenir e evitar vazamentos como o “Vazamento do fim do mundo”, justamente pela importância e sensibilidade das informações. Ela coloca de forma clara quem é o titular dos dados e quem são seus controladores e operadores.
Por exemplo, o Art. 5° da lei nos explica que dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável, também que os agentes de tratamento são aqueles que controlam e operam os dados. Nessas condições, a lei estabelece os direitos dos titulares daqueles dados pessoais e as responsabilidades e deveres dos agentes de tratamento desses dados.
Uma série de outras regras e definições são postas por escrito, mas para que todo esse sistema de defesa e proteção os direitos fundamentais de liberdade e de privacidade funcione também foi criada a ANPD.
A ANPD
A Agência Nacional de Proteção de dados — ANPD é a responsável pela fiscalização do cumprimento da LGPD. Embora a agencia não tenha sido formalmente constituída até o momento (janeiro de 2021), a lei já estabelece a responsabilidade de guardar, proteger e a maneira de “tratar” os dados e que a ANPD é quem fiscaliza isso.
O início da vigência da LGPD está marcada para 1° de agosto de 2021*. Isso significa que as penalidades e sanções só poderão ser aplicadas após esse dia. Essas sanções vão desde advertência, com indicação de prazo para adoção de medidas corretivas, multa de até 2% do faturamento da Pessoa jurídica ( com o limite de até cinquenta milhões de reais) até a possibilidade de sanções civis e penais, a depender da gravidade e abrangência das lesões causadas pela má gestão dos dados.
Por isso, identificar a fonte do vazamento é importante. Cobrar a responsabilidade sobre os dados armazenados é dar o exemplo para que outras empresas e instituições (públicas e privadas) tomem medidas efetivas para a proteção contra vazamentos e ataques hackers.
As consequências
Ainda é incerto quem é o responsável pelo vazamento, podendo até mesmo ser um compilado de diversas fontes. Por ora, as poucas informações não são suficientes para ter certeza e irá sobrar trabalho para as autoridades policiais identificarem com maior precisão a origem e a gravidade do caso.
Já pelo lado das vítimas, consultar o vazamento para saber se fomos atingidos para poder se prevenir ainda também não é uma opção, já que os dados precisam ser comprados.
ATUALIZAÇÃO (01/02/2021)
Na última quinta-feira, dia 28 de janeiro, ficou disponibilizada uma ferramenta para consultar se você foi atingido pelo vazamento, o portal UOL fez uma reportagem sobre a ferramenta de consulta que você pode conferir aqui.
Observação:
¹*A LGPD possui 3 datas para serem observadas: Entram em vigor:
- dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B;
- dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54 (que falam sobre as sanções)
- 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos.
Talvez você queira ler: Redes Sociais: O que eles não querem que você saiba?
Outras fontes:
Populção do Brasil.
