Vazamento de dados

100 milhões de celulares expostos: o que criminosos podem fazer com os dados e como se defender?

É o segundo vazamento em massa de dados em menos de 20 dias no país. Em janeiro, foram expostos dados de mais de 223 milhões de pessoas, vivas ou falecidas

SÃO PAULO – O Brasil já tem uma Lei Geral de Proteção de Dados (LGPD). A legislação regulamenta como dados pessoais dos brasileiros devem ser tratados, armazenados e protegidos pelas empresas, prevendo multas e punições para companhias que não seguirem as novas normas. Entretanto, o primeiro ano da vigência da lei tem sido marcado por falhas na proteção de informações.

Dois vazamentos em massa de dados já ocorreram no país em 2021. Em janeiro, foram expostos dados de mais de 223 milhões de brasileiros, vivos ou falecidos. Esse vazamento foi considerado por especialistas como o maior da história brasileira. Agora, um novo vazamento expôs mais de 100 milhões de números privados de celular.

Especialistas apontam para uma enorme fragilidade do sistema de segurança digital no país. O InfoMoney explica abaixo quais são os maiores riscos para o usuário que teve suas informações vazadas na internet, o que fazer para reduzir prejuízos e quais autoridades devem ser contatadas.

Entenda os vazamentos

Os dois vazamentos foram descobertos pela empresa brasileira de segurança digital PSafe, que assegura que boa parte desses dados estão à venda na internet. A origem das informações do primeiro vazamento, que está sendo investigado pela Polícia Federal, ainda não foi descoberta.

Já sobre o segundo vazamento, a PSafe alega ter contatado o hacker responsável e solicitado uma amostra do banco de dados, para averiguar a veracidade das informações. A PSafe informou que os dados eram de fato verdadeiros, e que o hacker teria indicado que as informações foram extraídas da base de dados das operadoras telefônicas Vivo e Claro.

A PSafe, no entanto, ainda não tem certeza da fonte dos dados. Tanto a Claro quanto a Vivo dizem que não identificaram qualquer tipo de invasão e vazamento dos seus bancos.

“A maneira com que os dados foram obtidos ainda não são claras para nossa equipe. O que podemos afirmar é que os vazamentos de dados empresariais têm sido cada vez mais frequentes e os colaboradores em home office têm sido o principal alvo dos cibercriminosos. É uma briga injusta para as empresas: basta um dispositivo desprotegido e uma ameaça bem sucedida para que um vazamento ocorra. A proteção aos dados precisa ser ativa em tempo integral”, explicou em comunicado Marco DeMello, CEO da PSafe.

“A Vivo reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade”, informou a Vivo em nota enviada ao InfoMoney.

A Claro explicou que irá abrir uma investigação para determinar o que aconteceu na sua base de dados. Porém, deixou claro que ainda não identificou qualquer vazamento. “Sobre o caso citado, a Claro informa que não identificou vazamento de dados. E, segundo informou a reportagem, a empresa que localizou a base não encontrou evidências que comprovem a alegação dos criminosos. Além disso, como prática de governança, uma investigação também será feita pela operadora. A Claro investe fortemente em políticas e procedimentos de segurança e mantém monitoramento constante, adotando medidas, de acordo com melhores práticas, para identificar fraudes e proteger seus clientes”, explicou a operadora também em comunicado ao InfoMoney.

O que os criminosos podem fazer?

CONTINUA DEPOIS DA PUBLICIDADE

No primeiro vazamento, foram expostas na internet informações pessoais, como telefone, formação acadêmica, salário, endereços físico e eletrônico, fotos, nome de familiares, dados do Imposto de Renda, classe social, documentos (RG, CPF, CNH, título de eleitor), score de crédito bancário e até mesmo perfil de consumo. O vazamento também incluiu informações de mais de 40 milhões de empresas do país, como CNPJ, razão social, nome fantasia e data de fundação, além de dados detalhados de 104 milhões de veículos.

O segundo vazamento incluiu novamente números de celulares, mas também valores de conta telefônica, minutos gastos por dia, CPFs e datas de nascimento.

Como os criminosos digitais podem agir? O hacker, ou qualquer um que tenha pago para comprar essas informações, pode realizar diversos tipos de fraudes no nome da pessoa que teve os dados expostos.

Um golpe em alta no Brasil é a clonagem do WhatsApp. A tática é uma adaptação do roubo de contas de aplicativo, que surgiu em meados de 2019. Enquanto o roubo gera um alerta para a vítima, o usuário não sabe que seu nome está envolvido em um golpe na clonagem.

Para esse golpe funcionar, hackers acessam fotos em redes sociais para criar perfis falsos no WhatsApp. Textos públicos também são usados para tentar imitar a forma de comunicação da vítima. Outra etapa importante para que o criminoso possa se passar pela vítima é conhecer o parentesco ou relação com a outra vítima. Como fotos, número de telefone e filiação foram expostos na internet, o golpe fica ainda mais fácil de realizar.

Golpes financeiros também tendem a acontecer com mais frequência. Criminosos podem tentar se passar por instituições financeiras e contatar o usuário oferecendo algum bônus ou benefício exclusivo, para assim conseguir coletar senhas ou mais acesso à conta bancária da vítima.

Outro risco apontado pelos especialistas diz respeito às senhas. Como tantas informações vazaram, é possível que o criminosos consigam ter acesso às suas senhas por tentativa e erro – ela pode ser sua data de nascimento, seu endereço residencial, o nome de algum parente ou algum outro documento seu. Esse mecanismo é chamado de ataque de força bruta.

“As pessoas não têm o conhecimento de como preferências pessoais, dados cadastrais ou situações de sua rotina podem ser usadas contra elas”, explica Fabio Assolini, analista sênior de segurança da Kaspersky, desenvolvedora de softwares de segurança e antivírus, no Brasil.

CONTINUA DEPOIS DA PUBLICIDADE

Os prejuízos podem ser enormes, inclusive para além do mundo digital. Especialistas apontam que os criminosos podem abrir contas em bancos, emitir cartões de crédito e até mesmo conseguir realizar financiamentos, empréstimos ou saques no nome de outra pessoa.

Outro risco no mundo real apontado pelos especialistas é o golpe envolvendo veículos. Como as informações de mais de 104 milhões de veículos foram vazadas, criminosos podem clonar chassis e placas.

Para as empresas, o risco é financeiramente maior. Criminosos podem tentar invadir a rede interna de uma companhia de diversas formas, já que conhecem os endereços eletrônicos de todos os funcionários e seus respectivos dados.

Uma vez dentro da rede interna, os hackers podem fazer um ataque conhecido como ransomware. É o “sequestro” de dados da empresa. A companhia fica refém dos criminosos, que normalmente exigem um pagamento de resgate para devolver esses dados.

Um em cada três ataques com ransomware acontece no setor corporativo, e as companhias brasileiras parecem estar mais na mira. Um estudo da Kaspersky revelou que, em uma amostra de 30 mil tentativas de sequestro de dados empresariais no mundo entre janeiro e maio deste ano, o Brasil foi o país com mais casos.

Como saber se meus dados foram vazados?

Um site chamado FuiVazado apareceu, com o objetivo de informar ao usuário quais dados foram expostos. Mas uma decisão de Alexandre de Moraes, ministro do Supremo Tribunal Federal (STF), determinou que o site fosse tirado do ar. Segundo reportagem do UOL, a Polícia Federal busca pelo desenvolvedor oficial do site para que preste esclarecimentos sobre o endereço eletrônico e os dados que ele possuía. O desenvolvedor, um jovem de 19 anos, ainda não foi localizado nem pela PF e nem pela reportagem.

Com o fim do FuiVazado e de outros sites similares, não há mais uma forma de saber com exatidão quais dados seus foram vazados. Mas há um caminho alternativo para saber se você está sendo vítima de algum golpe de fraude com suas informações. O site Registrato, do Banco Central, permite monitorar quais contas correntes e quantos empréstimos estão vinculados ao seu CPF. É possível fazer o cadastro pelo aplicativo da instituição no celular ou no computador.

Embora não seja uma forma de se proteger de um eventual golpe, o site permite que o consumidor possa agir mais rapidamente se perceber alguma movimentação estranha vinculada ao seu CPF. Caso a pessoa verifique que foram abertas contas ou empréstimos por terceiros em seu nome, por exemplo, pode rapidamente entrar em contato com a instituição financeira ou com o Banco Central.

Como se defender de ataques virtuais?

CONTINUA DEPOIS DA PUBLICIDADE

George Bonfim, advogado especializado em Direito Digital e Proteção de Dados, do escritório Natal & Manssur, explica algumas formas de se proteger de um ataque virtual ou de mitigar os efeitos da exposição de informações.

Bonfim explica que é importante que o usuário evite deixar cartões de crédito cadastrados em sites de compras. Se possível, também deve usar o cartão de crédito virtual, forma de pagamento oferecida por muitos bancos e que permite realizar apenas uma transação por cartão gerado.

“É importante evitar fornecer informações pessoais por telefone ou comunicadores instantâneos, como WhatsApp e Telegram, sem saber exatamente para qual finalidade. Da mesma forma, não preencha esse tipo de dado em páginas desconhecidas ou que chegam por links“, destaca Bonfim.

É recomendável também que o usuário evite manter o mesmo endereço de e-mail após os vazamentos. Mais importante ainda, senhas devem ser trocadas. É melhor usar palavras que não sejam informações pessoais, ou até mesmo utilizar um gerador de senhas aleatório.

Se o consumidor sofrer algum golpe digital, deve procurar autoridades competentes. “Também deve registrar Boletim de Ocorrência e reclamações no novo órgão [ANPD] e nos já estabelecidos, como Ministério Público, Procon e agências reguladoras. Com maior índice de registros de queixas, é possível iniciar investigações e até ações de prevenção a fraudes”, afirma o advogado.

Sanções e multas previstas na LGPD só poderão ser aplicadas a partir de agosto de 2021. Mas não há impedimento para que as pessoas já façam denúncias. “O Brasil já tem uma extensa legislação sobre proteção e sobre direito de reparação, como é o caso do Código de Defesa do Consumidor”, completa Bonfim.

Já pensou em ser um broker? Esta série gratuita do InfoMoney mostra como entrar para uma das profissões mais bem remuneradas do mercado. Deixe seu e-mail abaixo para assistir.