O megavazamento de dados de brasileiros revelado em janeiro pelo dfndr lab, laboratório especializado em segurança digital da startup PSafe, liberou informações de 223 milhões de CPFs, incluindo números de pessoas falecidas, 104 milhões de registros de veículos e 40 milhões de CNPJs. Também acabaram vazadas informações como nome, renda, endereço, foto de rosto, escores de crédito, entre outros dados. Conforme especialistas, a ação pode ser o maior roubo de informações da história do Brasil.
Reportagem do Estadão revelou que entre as vítimas há nomes como o do presidente da República, Jair Bolsonaro (sem partido), e dos 11 ministros do Supremo Tribunal Federal (STF). As informações estão em uma espécie de catálogo de arquivos colocado à venda por um hacker. O presidente do STF, Luiz Fux, considerou o caso como gravíssimo e pediu investigação.
Inicialmente, o Serasa chegou a ser apontado como a fonte dos dados vazados. A empresa, porém, garante ter investigado o caso e concluído que as informações não partiram da sua base. O megavazamento, portanto, segue com a origem desconhecida. Para piorar, em fevereiro, um novo vazamento foi descoberto.
GZH ouviu o professor Jéferson Campos Nobre, do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS), e Fernando Bousso, sócio da área de Proteção de Dados do Baptista Luz Advogados, para esclarecer dúvidas relativas ao caso. Confira:
Se um criminoso criar uma conta falsa ou tomar crédito usando os dados obtidos de outra pessoa física, o que pode ser feito por quem teve a identidade usada indevidamente?
O indivíduo deve comunicar o fato, imediatamente, à entidade envolvida e registrar um boletim de ocorrência na delegacia mais próxima de sua residência. É importante também contatar um advogado para tomar conhecimento das medidas legais aplicáveis ao caso específico, seja na esfera cível ou criminal.
A Lei Geral de Proteção de Dados (LGPD) pode proteger o cidadão?
Sim. A LGPD serve para regular como os nossos dados pessoais são utilizados e, apesar de as sanções ali previstas não poderem ser aplicadas nesse momento, já que entram em vigor em agosto de 2021, há a possibilidade de sanção dos envolvidos com base em outra normas, como o Código de Defesa do Consumidor. A LGPD tem o caráter de disciplinar a organização das empresas em relação à proteção de dados, definir quem são os responsáveis e aplicar as penalizações.
Qual a função da Autoridade Nacional de Proteção de Dados (ANPD) neste caso?
A ANPD deve apurar o incidente e interagir com órgãos de defesa do consumidor, incluindo Senacon, Ministério Público e Procons, para, conforme o caso, promover a responsabilização e punição dos agentes envolvidos. A ANPD já está operando, mas ainda não pode aplicar as sanções previstas na LGPD.
É possível pensar em dano moral, por exemplo?
Esse é um tema ainda em aberto.
O que o megavazamento de dados sinaliza sobre a adoção da segurança cibernética no país?
Esse incidente reforça a necessidade de os setores público e privado se preocuparem com a segurança dos dados pessoais tratados, como determina a LGPD, e adotarem as melhores práticas de mercado em termos de segurança da informação. É inadmissível, hoje em dia, tratar dados, por exemplo, sem qualquer tipo de criptografia. O investimento precisa ser feito tanto em questões tecnológicas e na aquisição de equipamentos e de sistemas de proteção como na capacitação e treinamento de usuários comuns e profissionais especializados em segurança cibernética.
Sites surgiram para que o consumidor possa consultar se seus dados foram vazados. Esses sites são seguros?
É preciso cautela ao utilizar sites desconhecidos, particularmente se, para utilizar o serviço oferecido, for necessário compartilhar ainda mais dados pessoais. Toda vez que é feita uma consulta sobre um CPF em determinado site, ele acaba supondo que esse CPF é válido. Então, de alguma forma, se fornece a informação sobre a validade de um CPF para um site sem garantia de que opere de uma forma benéfica. Acaba sendo contraproducente.
Existe algum site confiável no qual possamos checar se tivemos dados vazados?
Infelizmente, não há um site oficial do governo para fazer esse tipo de checagem, apesar de esse tipo de prática ser recomendável. Uma alternativa, ainda que restrita a algumas atividades, é o site Registrato, operado pelo Banco Central e que contempla relatórios de empréstimos, financiamentos, Pix, entre outros. Existem também alguns sites que fornecem esse serviço há muitos anos, mas são entidades privadas ou pessoas físicas. Não há como ter garantias.
Se, de alguma forma, o cidadão confirmar que os dados pessoais dele foram vazados, adianta trocar a senha de sites e aplicativos onde ele possui cadastro?
Justamente por não ter ocorrido vazamento de senhas é que o megavazamento é ainda mais relevante. Os dados vazados são insubstituíveis. Mas é uma boa prática alterar periodicamente as senhas utilizadas em sites e aplicativos, lembrando que, na medida do possível, deve-se usar senhas diferentes para cada um deles.
Existem outras medidas preventivas que possam ser indicadas?
É preciso uma mudança cultural. O cidadão deve ser preocupar com quem está compartilhando os dados pessoais, entendendo se aquela informação precisa realmente ser repassada e se o agente está agindo com a transparência necessária. Sempre na perspectiva de que, se as informações são compartilhadas com determinado site comprometido, elas podem ser vazadas.
Caso seja confirmada a origem do vazamento, o responsável pode ser responsabilizado?
Sim. Pode ser responsabilizado tanto administrativa quanto judicialmente. Contudo, no âmbito individual, é complicado comprovar que eventual dano tenha decorrido desse incidente específico, motivo pelo qual a adoção de medidas de tutela coletiva é tão importante.
