Um hacker anunciou, nesta quinta-feira (25), em um fórum na internet, que colocava à venda os dados de mais de 12 milhões de brasileiros, incluindo o número do cartão de crédito e a senha de acesso à conta pelo aplicativo ou site. O pacote, com informações potencialmente obtidas em fevereiro de 2021, custava US$ 50 mil (R$ 273 mil). Além dos cartões de crédito, há dados correlacionados, como nome, email, telefone, CPF ou CNPJ. A informação foi noticiada pelo jornal O Estado de S. Paulo e confirmada pela Folha.
O pacote não foi anunciado na deep web, seção oculta da internet que não é indexada em sites de busca, como o Google, onde costumam ocorrer essas vendas. No entanto, isso não significa que não esteja disponível nessa área. A Folha confirmou com a empresa de cibersegurança Syhunt a relação de nomes das pessoas com os cartões de crédito.
Em um primeiro momento, é impossível comprovar se as informações anunciadas são factíveis. O hacker exibe de modo rasurado, uma forma de não evidenciar o conteúdo de sua venda. Especialistas dizem que alguns indícios podem ser considerados em casos do tipo. Nesse episódio, o hacker, ou o coletivo de hackers, com pseudônimo “gneziol”, tem credibilidade dentro do fórum. Procurado, ele não se manifestou.
Segundo o anúncio, as informações foram capturadas por marcas da empresa Eduzz, uma plataforma que auxilia empreendedores com melhora de performance em vendas online. A empresa não se manifestou até a publicação deste texto. Não há paralelo evidente entre esse vazamento e os anteriores, como o que ocorreu em janeiro deste ano e expôs cerca de 220 milhões de CPFs e uma série de documentos pessoais, além de outro episódio em que ocorreu o vazamento de 100 milhões de contas de celular.
Há possibilidade, entretanto, de que essas bases sejam compiladas e agregadas, fornecendo ainda mais risco aos consumidores. “Alguns vazamentos podem contribuir para que outros ocorram, e aí vira um efeito dominó. Os dados de diferentes vazamentos podem ser agregados. Com a senha, é possível chegar a uma conta administrativa vazada de outra leva, e conseguir acessá-la, por exemplo”, diz Felipe Daragon, da Syhunt.
A recomendação inicial para qualquer pessoa que possua cartão de crédito é ficar atento a movimentações financeiras e alterar a senha de acesso do aplicativo e do próprio cartão. Qualquer compra diferenciada deve ser registrada para eventual contestação no banco. O pagamento aos vendedores de dados costuma ser feito com criptomoedas, impossíveis de rastrear.
De acordo com a LGDP (Lei Geral de Proteção de Dados), se a empresa identificar que houve violação cibernética em seu sistema, deve informar a clientes e potenciais cidadãos afetados. As multas da nova legislação estão previstas apenas a partir de agosto. Procurada, a ANDP (Autoridade de Proteção de Dados), ainda não se manifestou.
Fonte: FOLHAPRESS