O laboratório especializado em segurança digital da startup PSafe, o dfndr lab, revelou, na semana passada, um vazamento de dados com proporções imensas: foram expostos 223 milhões CPFs, dados que foram compilados em agosto de 2019 e são, inclusive, superiores à população brasileira, por conterem informações referentes a pessoas já falecidas. Os números dos CPFs são acompanhados de nome, endereço, renda, imposto de renda, fotos, participantes do Bolsa Família, scores de crédito de cada cidadão, e estão à venda em fóruns da internet utilizados por criminosos digitais.

A venda destas informações está ocorrendo por meio de 37 pacotes, onde a oferta dos criminosos não cobre os dados de forma integral, sendo possível comprar apenas trechos destes. Como forma de comprovar a veracidade e autenticidade da oferta, estão sendo publicados arquivos de “exemplo”, contendo mil amostras de cada tipo de informação.

A origem do vazamento ainda não foi descoberta, porém, existem indícios de que os dados pertençam à base de dados do Serasa. O jornal o Estadão acessou parte das informações e localizaram documentos e menções ao birô de avaliação de crédito. Ainda há a suspeita de que uma dessas bases de dados são pertencentes ao Mosaic, um serviço do Serasa. Até o momento, a empresa nega ser a origem do vazamento e afirma estar investigando a ocorrência.

“Estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web. Conduzimos uma extensa investigação e neste momento nenhum dos dados que analisamos indicam que a Serasa seja a fonte. Muitos dos dados analisados incluem elementos que não temos em nosso sistema e os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos”, justificou a empresa suspeita, por meio de nota.

Várias informações concedidas não são públicas, entretanto, de outro lado, alguns destes dados podem ser obtidos em sites do governo ou por meio de serviços privados. Ou seja, apesar de alguns itens já serem públicos, há a possibilidade de que os criminosos ou as empresas tenham copiado e organizado os dados para facilitar operações de marketing, crédito ou fraude.

Diante de tanta informação em fácil acesso aos cibercriminosos, a população brasileira precisa se manter atenta às possibilidades de fraudes utilizando seus dados. O uso de seu nome, CPF e outros dados pessoais não significa que uma mensagem é legítima. Por isso, se receber uma mensagem ou e-mail de um contato inesperado com tais informações, não confie, e em caso de dúvida quanto a veracidade, ligue para o telefone da instituição e conversa com o serviço de atendimento para esclarecer a situação.

(Com informações do G1 e do Terra)