Como o megavazamento de dados pessoais pode afetar você?

Vazamento. No último dia 18 de fevereiro, o Brasil foi surpreendido com o que está sendo considerado o maior vazamento de dados da história deste país. Mas, a final, o que houve?

No dia 19 de fevereiro, a PSafe, através do seu laboratório de cibersegurança, identificou o vazamento em massa de dados pessoais e dados pessoais sensíveis de mais de 220 milhões de brasileiros, incluindo os dados de pessoas já falecidas. Ou seja, esse número é maior do que a população de pessoas vivas, no Brasil. Contudo, a magnitude desse incidente não para por aí, já que dados de pessoas jurídicas, e dados de veículos também foram vazados.

Os tipos de dados pessoais envolvidos neste incidente chegam a mais de trinta. Dentre os mais significativos, temos: Nome completo; CPF; Gênero; Data de Nascimento; E-mail; Telefone; Endereço; Ocupação; Score de Crédito; Registro Geral; Título de Eleitor; Grau Escolaridade; Dados da Receita Federal; Classe Social; Estado Civil; Fotos de Rostos; Cheques sem Fundos; Devedores; Bolsa Família; Conselhos; Salário; Renda; IRPF; INSS; FGTS; NIS e PIS. Também há dados de 104 milhões de veículos, que vão desde placas até o tipo de combustível utilizado.

Há alguns dias, era possível, numa simples busca no Google, acessar a base dos dados. Cabe ressaltar que estima-se que os arquivos com os dados em questão tenham cerca de 50 GB, o que dificulta o seu processamento em computadores com hardwares de baixo desempenho. Ao que tudo indica, a comercialização dos dados vazados começou na Deep Web, mas em seguida, subiu para a internet convencional. Os dados pessoais têm um alto valor no mercado. Um pacote com dados pessoais de 100 pessoas físicas ou jurídicas custa cerca de USD 50,00, que em uma conversão livre, para o Real, atinge cerca de R$ 270,00.

Como prática comum, os cibercriminosos disponibilizam parte das bases que obtém, a fim de comprovarem a veracidade das informações e se esforçam para conseguirem lucrar com estes dados. Os fóruns da internet são os lugares favoritos dos cibercriminosos quando deixam a Deep web, como é o caso do RAID Forums, que está anunciando, ao que tudo indica, parte dos dados do vazamento em questão.

O sinal de alerta soou para muitas pessoas físicas e jurídicas que começaram a se questionar o que pode ser feito para evitarmos tais danos. Além disso, inúmeras outras indagações surgiram. Algumas, já podem ser respondidas, contudo outras, só com o tempo, já que dependerão de investigações e apurações de diferentes instituições, como por exemplo: PROCON, SENACON, ANPD, MP, PF, BACEN (caso os dados vazados contiverem dados oriundos do Cadastro Positivo). Sim, o tema privacidade e proteção de dados acarreta uma competência concorrente, uma multiplicidade de atores e diálogo das autoridades.

A Serasa Experian é alvo de apuração do PROCON-SP. Cogita-se que devido ao detalhamento, estruturação dos dados, score de crédito, e o uso do sistema Mosaic Brasil, que é baseado em sofisticados modelos estatísticos e analíticos, os dados em questão sejam originados da base da Serasa. A Lei Geral de Proteção de Dados (LGPD) prevê sanções administrativas para as organizações que cometerem infrações às normas previstas nesta Lei. Contudo, estas sanções só poderão ser aplicadas a partir de 1º de agosto deste ano, ou seja, a ANPD ainda não pode aplicar multas pecuniárias. Mas, engana-se quem pensa que em caso de vazamento, uma organização não pode ser acessada. O PROCON-SP, por exemplo, pode aplicar penalidades baseadas no Código de Defesa do Consumidor (CDC).

Pesquisadores continuam apurando este incidente, no entanto, até agora, não existem informações sólidas sobre as fontes. Apesar de alarmante, vazamentos como este não são inéditos! O que chama a atenção para este é a quantidade, estrutura e organização impecável destes dados. Uma das primeiras coisas que podem surgir em seus pensamentos é o que falta mais ser vazado? Já que está quase tudo ali.

De acordo com um processo do Ministério Público do Distrito Federal e dos Territórios (MPDFT), a Serasa Experian vendia dados pessoais ao valor de R$ 0,98 por titular, com informações que continham nome, endereço, CPF, até três números de telefones, localização, perfil financeiro, poder aquisitivo e classe social para fins de publicidade e captação de novos clientes.

O já citado sistema Mosaic Brasil, segundo a própria Serasa, em sua versão brasileira, já classificou mais de 140 milhões de consumidores no País, em 11 grupos e 40 segmentos. Sua base foi criada com o cruzamento de dados da Serasa Experian, dados públicos e análises realizados por um instituto de pesquisa. Esta ferramenta foi anunciada oficialmente, em 30 de  setembro de 2014, e foi considerada como o mais completo estudo de segmentação, já realizado no Brasil, sobre a população brasileira acima de 18 anos. O Mosaic Brasil é um modelo de segmentação do mercado consumidor brasileiro, baseado em dados socioeconômicos, demográficos, geográficos, comportamentais, de consumo e estilo de vida. Classifico com assustador o nível de detalhe da ferramenta.

No caso do Brasil, será que o Governo e o comércio deveriam continuar utilizando determinados dados como referências aos cidadãos, mesmo estes tendo sido explicitamente vazados? Esse vazamento pode acabar com a segurança de muitos sistemas brasileiros, já que o Brasil tem muitos sistemas baseados em confirmações de dados. Ou seja, os dados pessoais vazados que ainda servem de validação em sistemas estão sob grande risco. O CPF é hoje, no Cadastro Base Cidadão, o identificador padrão, por definição, isto é, para os novos planos de identidade digital do Governo.

Cabe destacar que no nosso dia a dia, inúmeros dados pessoais são coletados, tanto online, quanto off-line, seja na farmácia que coleta seu CPF, no condômino que pede seu nome e sobrenome, identidade, e ainda coleta a placa do seu carro; seja na internet, na infinidade dos e-mails, cookies etc.

Os cookies são necessários para o bom funcionamento de alguns sites, contudo podem facilmente cobrir uma grande parte da sua vida digital, e são amplamente utilizados para a prática conhecida com Engenharia Social. Através dos cookies, é possível saber que tipo de rede wi-fi você usa, quais pacotes de internet você contrata, tipos de dispositivos que está utilizando e até mesmo sua localização de GPS.

Empresas e cibercriminosos também se especializaram na utilização de robôs para obterem dados pessoais de bases públicas que têm que estar em compliance com a Lei de Acesso à Informação, por exemplo.

Ainda não sabemos que foi o responsável pelo cibercrime, mas sabemos que já está sendo apurado tanto pela iniciativa pública quanto pela privada. Sim, neste caso há uma multiplicidade de atores, que incluem: a Polícia Federal (PF); o Gabinete de Segurança Institucional da Presidência da República; a Autoridade Nacional de Proteção de Dados (ANPD); e a PSafe, empresa que descobriu o vazamento.

A Ordem dos Advogados do Brasil (OAB), em janeiro, através de ofício, manifestou preocupação com o vazamento e pediu que a ANPD investigue o incidente.

O ocorrido submete praticamente toda a população brasileira a um cenário de grave risco pessoal e irreparável violação à privacidade e precisa ser investigado a fundo pelas autoridades competentes, em particular por essa agência.

OAB

Em nota, a ANPD destacou que mobilizou todo o seu efetivo para analisar os aspectos relacionados à LGPD que são pertinentes ao incidente.

O que você pode fazer?

1. Saber se você foi uma das vítimas;
2. Saber quais informações foram vazadas;
3. Acompanhar notícias para saber quem é o controlador desses dados pessoais;
4. Caso o controlador seja identificado, mover ação na Justiça Comum ou Juizado Especial Cível, a fim de exercer nossos direitos.

Quais são as perguntas e respostas mais relevantes sobre esse incidente?

1. Quais instrumentos jurídicos são aplicáveis? A Lei Geral de Proteção de Dados (LGPD); O Código de Defesa do Consumidor (CDC) e o Código Civil, pelo menos;
2. Você tem ideia da importância dos seus dados pessoais?
3. Será que o CPF deve continuar sendo utilizado como identificador principal em bases de dados do Governo?
4. As organizações deveriam continuar a manter esse volume imenso de dados pessoais e ainda aplicarem modelos para transformar os dados em informação, inteligência?
5. Será que precisamos fornecer tantos dados assim para simples cadastros?
6. Você concorda com o Cadastro Positivo, ou seja, a inclusão automática de seus dados, em bases na inciativa privada?

O incidente em questão, faz lembrar outro incidente ocorrido nos Estados Unidos, envolvendo a empresa Equifax, que também é um bureau de crédito, e aqui no Brasil foi incorporada pelo Banco Boavista. A Equifaz está entre os três maiores do mundo, junto com a Experian e a TransUnion. Entre maio e julho de 2017, cibercriminosos exploraram uma brecha no servidor da Equifax, e mais de 147 milhões de norte americanos tiveram seus dados pessoais vazados, como por exemplo: nome, endereço, data de nascimento, carteira de motorista, Social Security number, além de 209 mil números de cartões de crédito. A Equifax só comunicou publicamente este vazamento, em setembro de 2017. Em outubro do mesmo ano, outro incidente na Equifax vazou os dados salariais de funcionários de centenas de milhares de empresas norte americanas que empregavam metade da população. Houve um acordo de USD 650 milhões e, até 2024, a Equifax:

• indenizará titulares de dados que foram lesados nestes incidentes, e em alguns casos a indenização chega a 20 mil dólares;
• indenizará o tempo dos titulares gastos para mitigarem os danos causados por este incidente no valor de USD 25,00 por hora;
• garantirá o acesso das vítimas aos relatórios de credit score por até sete vezes ao ano;
• manterá um call center dedicado às vítimas deste incidente;
• oferecerá um serviço de monitoramento de vazamento de dados para os titulares lesados.

Na época o caso da Equifax foi considerado um dos maiores data breaches em termos de impacto à Sociedade. Foram promovidas oito rodadas de discussão, no Congresso Norte-americano, com diferentes subcomitês, e um dos debates mais interessantes foi trazido por Mark Rotenberg. Neste debate, Mark questionou se diante desse tipo de vazamento, se os dados vazados deveriam continuar a ser utilizados pelo comércio e pelo próprio Governo. Em outras palavras, deveriam os norte-americanos continuarem a utilizar seus Social Security numbers, por exemplo? Embora, não tenha sido a decisão tomada pelo Congresso, mas valeu o debate.

É comum ouvirmos que basicamente existem dois tipos de empresas: as que já tiveram incidentes de segurança e as que ainda terão. Desta forma, as organizações precisam se adequar não só para estarem em compliance com a LGPD, mas para mitigarem os riscos e dados que podem ser gerados a partir de um incidente com dados pessoais.

Capacite seus colaboradores! Conte com a ACPD para isso.

Referências Bibliográficas:

DIÁRIO DO NORDESTE. LGPD pode ser acionada para embasar punição a responsáveis por vazamento de dados. Disponível em: https://diariodonordeste.verdesmares.com.br/negocios/lgpd-pode-ser-acionada-para-embasar-punicao-a-responsaveis-por-vazamento-de-dados-1.3041891. Acesso em: 05 fev. 2021.

THE NEW YORK TIMES. Equifax Data-Breach Settlement: Get Up to $20,000 If You Can Prove Harm. Disponível em: https://www.nytimes.com/2019/07/22/business/equifax-data-breach-claim.html#:~:text=Two%20years%20after%20a%20major,investigations%20stemming%20from%20the%20episode. Acesso em: 08 fev. 2021.

TILT. Existe um negócio lucrativo que alimentou o megavazamento de dados; entenda. Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2021/02/08/vazamento-mostrou-como-nossos-dados-sao-valiosos-quem-lucra-com-eles.htm. Acesso em: 08 fev. 2021.

RAID Forums. Thread Just Brazil Vehicles 104M. Disponível em: https://raidforums.com/Thread-Just-Brazil-Vehicles-104M. Acesso em: 08 fev. 2021.

SERASA EXPERIAN. Mosaic Brasil. Disponível em: https://edisciplinas.usp.br/pluginfile.php/5076119/mod_resource/content/2/Mosaic%20Brasil%20-%20Segmenta%C3%A7%C3%A3o%20geodemogr%C3%A1fica.pdf. Acesso em: 08 fev. 2021.