Um usuário que se identifica como X4Crow anunciou o leilão de um banco de dados que reúne informações pessoais de mais de 92 milhões de brasileiros. O anúncio informa que estão disponíveis 16GB de dados em formato SQL com nomes, datas de nascimento, CPF e, em alguns casos, até CNPJ. O preço inicial das ofertas do leilão é de US$ 15 mil (em torno de R$ 61,5 mil, com a cotação atual) e está sendo promovido em fóruns na dark web de acesso restrito a convidados ou mediante pagamento de uma taxa. As informações são do site BleepingComputer, que recebeu uma amostra e comprovou a veracidade dos dados.
O professor da Fundação Getulio Vargas (FGV), Arthur Igreja, especialista em tecnologia, alerta para o fato do número de dados anunciado se equiparar ao montante de profissionais empregados no modelo CLT atualmente no Brasil — segundo estatísticas, aproximadamente 93 milhões. Igreja levanta duas hipóteses para a obtenção dos dados: ou vazamento de algum órgão governamental ou pela técnica de crawling, onde um algoritmo é usado para analisar o código de um site em busca de dados e depois classificá-los. Esse processo é utilizado em sites de pesquisas como o Google, Bing, por exemplo.
“Esse tipo de vazamento é praticamente inevitável, pois, hoje, o cidadão comum não tem como saber quem acessa os seus dados. É cada vez mais normal que as pessoas insiram seus dados em diversas atividades virtuais, desde o preenchimento de uma vaga, participação em sorteios, bem como em ações disseminadas por estratégias de phishing, sejam via links desconhecidos pulverizados nas redes sociais e e-mails ou até mesmo por fake news“, explica o professor.
O hacker responsável pelo leilão também oferece serviços de pesquisas específicas para obtenção de informações aprofundadas. Ele alega que, a partir do nome completo, número de identidade ou de telefones, pode conseguir outros dados do usuário como carteira de motorista, endereços, e-mails, escolaridade, profissão e nomes de possíveis parentes. O preço para realizar a busca é de US$ 150 (em torno de R$ 615).
Arthur Igreja destaca que a Lei Geral de Proteção de Dados (LGPD) teria um papel importante se fosse possível confirmar a origem dos dados. “Caso seja comprovado a empresa ou órgão por trás desse vazamento, eles seriam responsabilizados com base no LGPD, porém, nesse caso especificamente, e na maneira como as informações estão sendo comercializadas (em leilão na dark web), não se tem nenhum rastro de onde vieram”, completa. A LGPD regula as atividades de tratamento de dados pessoais e entra em vigor em 2020.