Vazamento de dados pode ter exposto CPF de quase toda a população brasileira

Vazamento de dados pode ter exposto CPF de quase toda a população brasileira

Pesquisadores do dfndr lab, o laboratório de segurança da PSafe, identificaram um vazamento massivo de dados na manhã desta terça-feira. Embora os especialistas não tenham divulgado detalhes sobre a exposição, eles garantem que foram expostos os números de CPF de mais de 220 milhões de cidadãos — ou seja, praticamente toda a população do Brasil, incluindo “grandes autoridades brasileiras”.

Além do documento, o vazamento também incluiria informações detalhadas sobre 104 milhões de veículos (incluindo número do chassi, placa, município de registro, cor, marca, modelo, ano de fabricação, cilindradas e tipo de combustível) e dados sobre 40 milhões de empresas nacionais (CNPJ, razão social, nome fantasia e data de fundação). Novamente, a dfndr lab não revelou qual é a fonte dos dados e tampouco aspectos técnicos da exposição.

“O mais comum é que os dados sejam utilizados para golpes de phishing, uma vez que o cibercriminoso tenha o CPF e outros dados reais da pessoa, seria fácil se passar por um serviço legítimo e utilizar engenharia social para obter dados mais críticos da vítima, que poderiam ser utilizados para pedir empréstimos, senha de banco e contratações de serviços, por exemplo”, explica Emilio Simoni, diretor do dfndr lab.

De acordo com o executivo, é natural que esse tipo de banco de dados seja compilado e posteriormente comercializado na dark web para outros golpistas que desejam aplicar fraudes. “Os cibercriminosos disponibilizam parte das bases para comprovar a veracidade das informações obtidas e tentam de alguma forma lucrar com esses incidentes, vendendo dados mais aprofundados como e-mails, telefones, dados de poder aquisitivo e ocupação das pessoas afetadas”, comenta Simoni.

Embora não revele o responsável pelo incidente (e tampouco se o vazamento já foi solucionado), o dfndr lab ressalta que, de acordo com a Lei Geral de Proteção de Dados (LGPD), empresas que cometem esse tipo de deslize podem ser multadas em até R$ 50 milhões, caso assim seja decidido pela Agência Nacional de Proteção de Dados (ANPD).

Fonte: CanalTech