Dois casos, até o momento sem conexão comprovada entre si, podem ter exposto informações privadas de pelo menos 92 milhões de brasileiros. Desde segunda-feira (7), circula em revistas especializadas em tecnologia dos Estados Unidos a informação de que um banco de dados com 16 gigabytes de memória estaria sendo leiloado em fóruns clandestinos da dark web, uma parcela da chamada deep web, composta por sites e redes que não são indexados pelos mecanismos de busca e normalmente utilizada para práticas criminosas. O arquivo conteria informações como Cadastro de Pessoas Físicas (CPF), Cadastro Nacional da Pessoa Jurídica (CNPJ), endereço, data de nascimento, telefones, e-mail, profissão e dados de veículos de quase metade da população brasileira.
A notícia foi publicada pela revista norte-americana BleepingComputer, em artigo assinado pelo repórter Ionut Ilascu. O jornalista recebeu a informação de um site chamado Breach Radar, especializado em monitorar crimes na internet. Os dados teriam como origem um suposto banco de dados do governo.
Ilascu descobriu que o pacote de informações estaria sendo leiloado em vários mercados de dark web de acesso restrito. O valor inicial seria de US$ 15 mil, com incrementos de lances de US$ 1 mil.
Na apresentação, o vendedor, que se identificou com o pseudônimo X4Crow, informa que os 16GB de informações estão em formato SQL (habitualmente utilizado para banco de dados). A última atualização da oferta foi feita em 15 de setembro.
O vendedor esclarece que os dados estão classificados de acordo com o Estado. Em uma segunda oferta, intitulada "Serviço: Encontre qualquer dado de qualquer pessoa no Brasil", o vendedor detalha uma lista com ainda maior número de informações pessoais possíveis de ser encontradas no pacote: "número de celular, números antigos de celular, locais onde trabalhou, endereços antigos, PIS, RG", entre outros. De posse de uma amostra do arquivo, o repórter utilizou o serviço de consulta do CPF no site da Receita Federal do Brasil, para confirmar a veracidade das informações.
No título da oferta, o vendedor afirma que os registros cobrem "quase todos os cidadãos brasileiros" — o que não é verdade. A população brasileira é de 210 milhões de pessoas, segundo estimativa do Instituto Brasileiro de Geografia e Estatística (IBGE). O montante oferecido representa 44% dos brasileiros. Chama a atenção de especialistas que esse percentual seria o equivalente ao de brasileiros empregados pelo regime de CLT atualmente no Brasil.
Oferta de informações é comum
Especialistas em internet ouvidos por GaúchaZH acreditam que o suposto leilão é "possível e provável". O executivo de internet e consultor Rodrigo Borer lembra que, em São Paulo, é comum a oferta de informações de contribuintes a partir de CPF no mercado ilegal físico — por meio de DVD e pen drive. Com acesso ao CPF, tem-se acesso a dados como nome completo, nome da mãe, data de nascimento e outras informações pessoais.
— Acho bem possível, até provável (a oferta na dark web). Até algum tempo atrás, pessoas vendiam esses dados nas ruas em DVD ou pen drive. Sem dúvida, pode ter evoluído para uma venda online — diz Borer.
Delegado da Polícia Civil gaúcha e especialista em crimes cibernéticos, Emerson Wendt afirma que esse tipo de vazamento já ocorreu, porém questiona o número de cidadãos cujos dados podem ter sido revelados.
— Muitos vazamentos já aconteceram, porém essa lógica de que corresponderiam a 44% da população brasileira considero errada, porque deve haver muitos dados repetidos. Um banco de dados desse tamanho pode ter a ver com vários vazamentos e cruzamento de dados — pondera.
Falha expôs informações de brasileiros
A oferta de dados dos brasileiros na dark web pode estar relacionada, segundo especialistas, com outro episódio recente. Uma falha no sistema do Departamento Estadual de Trânsito (Detran) do Rio Grande do Norte expôs informações pessoais de todos brasileiros que possuem Carteira Nacional de Habilitação (CNH). Era possível obter, apenas com o número de CPF, endereço residencial, telefone, operadora, dados da CNH (categoria, validade, emissão, restrição, registro), foto, RG, CPF, data de nascimento, sexo e idade.
A notícia foi revelada com exclusividade pela revista Olhar Digital, a partir da denúncia de um pesquisador de segurança da informação, que explorou a falha por três meses. Ele descobriu, por meio de testes com variados números de CPFs gerados aleatoriamente, a falha que dava acesso ao banco de dados completo dos Detran de todo o Brasil — que têm seus sistemas integrados e unificados. Estavam expostos dados inclusive de personalidades, como o presidente Jair Bolsonaro e seus filhos, Wesley Safadão, Xuxa, Neymar, Eike Batista, entre outros. Desde a semana passada, o problema foi corrigido.
Em nota, o Detran do Rio Grande do Norte informou que abriu processo administrativo para apurar a falha no sistema de segurança. Apesar da exposição das informações pessoais, o Detran afirmou, na nota, que os dados dos usuários não foram afetados. GaúchaZH consultou a Polícia Federal (PF): "Por ora, não há investigações em andamento sobre os casos relatados pela imprensa", respondeu.
Veja nota do Detran na íntegra:
"O Departamento Estadual de Trânsito do RN (Detran) esclarece que, de imediato, a equipe técnica de Informática do órgão sanou a falha ocorrida em seu sistema. Cabe ressaltar que os dados dos usuários não foram afetados, assim como não houve interferência nos sistemas de Registro Nacional de Carteira de Habilitação (Renach) nem no Registro Nacional de Veículos Automotores (Renavam)."