MISTÉRIO

ANPD investiga vazamento dos CPFs

02/02/2021 13:53

Também participam da apuração instituições como a Polícia Federal e o Comitê Gestor da Internet no Brasil.

ANPD quer descobrir de onde veio, afinal, o vazamento. Foto: flickr.com/photos/simon_elgood.

Tamanho da fonte: -A+A

A Autoridade Nacional de Proteção de Dados (ANPD) resolveu apurar tecnicamente o mistério do vazamento de mais de 220 milhões de CPFs descoberto pela PSafe no final de janeiro, que pode ser o maior da história do país.

Segundo o site Security Report, o anúncio veio após questionamentos de várias frentes cobrando alguma ação da ANPD. Entre elas, está um ofício da OAB Nacional pedindo adoção imediata de medidas para a apuração do fato.

Em nota, a ANPD informou que, desde que soube dos fatos noticiados, tomou providências para análises e atuará de forma ativa em relação a eventuais violações à Lei Geral de Proteção de Dados (LGPD). 

“Já recebeu as informações do Serasa e, na busca de mais esclarecimentos, oficiou outros órgãos para investigar e auxiliar na apuração e adoção de medidas de contenção e mitigação de riscos, como a Polícia Federal, a empresa PSafe, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República”, publicou a instituição.

O órgão garante que vai promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos.

Para Estela Aranha, presidente da Comissão de Proteção de Dados da Ordem dos Advogados do Brasil, Seção Rio de Janeiro, a primeira tarefa é investigar como o vazamento ocorreu e quem está por trás dele para responsabilizar o controlador do banco de dados. 

Emergencialmente, também seria preciso ter um plano de contingência com as medidas que precisam ser tomadas para reduzir os riscos para as pessoas cujas informações foram vazadas ou colocadas à venda.

Já Rafael Zanatta, diretor da Associação Data Privacy Brasil, diz que enquanto não forem encontrados os responsáveis não há nada que possa ser feito em relação às pessoas que tiveram dados expostos.

Ele entende que seria necessário “delimitar, por meio de auditoria da ANPD, os servidores da Serasa e as bases [vazadas] para responder qual o grau de similitude”.

Para além da ANPD, outros entes públicos, como o Congresso Nacional, também podem debater medidas para mitigar os efeitos do vazamento e evitar novos incidentes como este.

O caso veio a público no final de janeiro, quando o dfndr lab, laboratório de cibersegurança da PSafe, identificou que dados de mais de 220 milhões de pessoas têm sido comercializados ilegalmente em fóruns da dark web, mas não descobriu onde o vazamento aconteceu.

Na última semana, a empresa de segurança disse à CNN Brasil que o hacker que fez a captura das informações afirmou ter obtido os dados na base do Serasa Experian entre 2018 e 2020.

A Serasa foi notificada pelo Procon-SP e pela Secretaria Nacional do Consumidor (Senacon) para prestar esclarecimentos, mas afirma que não há correspondência entre os campos das pastas disponíveis na web com os campos dos seus sistemas.

Na última sexta-feira, 29, um hacker que tem acesso à dark web e a detalhes do vazamento reforçou ao site CISO Advisor que os dados não vieram da Serasa. Ele afirmou que as informações vazadas “vêm de uma empresa interligada com o governo”.

O Procon-SP também enviou um ofício à Polícia Civil de São Paulo pedindo que a Divisão de Crimes Cibernéticos instaure um inquérito para apurar o caso. As duas instituições devem trabalhar em colaboração para investigar o ocorrido. 

Caso enquadrado no Código de Defesa do Consumidor, o vazamento pode gerar uma multa entre R$ 704 e R$ 10 milhões. Segundo o Senacon, há também a possibilidade de enquadramento como violação ao Marco Civil da Internet.

Já as penas previstas na LGPD, que podem chegar a até R$ 50 milhões, só podem ser aplicadas a partir de agosto.

Veja também

QUEBRA-CABEÇA
De onde saíram os CPFs?

Um hacker aponta a Serasa Experian, que nega. Outro afirma que a fonte é estatal.

DADOS
Grupo RCI: LGPD com Privacy Tools

Braço financeiro das marcas Renault e Nissan começou o projeto lá em 2018.

INFORMAÇÃO
A LGPD e o valor precioso dos dados

Grandes empresas já fazem a medição de seu "valuation" pelos ativos de dados que têm.

DARK WEB
Psafe: todos os CPFs do Brasil vazaram

Banco de dados vazado reúne nome completo, data de nascimento e CPF de potencialmente quase todos brasileiros.

SEGURANÇA
Oito passos para os CISOs se alinharem ao negócio

Profissionais se focam no significado técnico das métricas de risco, o que é um problema na conversa.

ADEUS
Relembre 2020, se você é corajoso o bastante

A retrospectiva de um ano que não será esquecido: coronavírus, novo normal, ransomware, grandes negócios e mais.

TEMPERATURA
Problema em data center da Ascenty afeta clientes da IBM

Serviços foram paralisados às 5h de segunda-feira, 7, e só voltaram ao normal depois das 22h.

SEM RESGATE
Hackers vazam dados da Embraer na dark web

Ataque de ransomware teria sido provocado pelo RansomExx, mesmo grupo que atingiu o STJ.

FALHA
Nova exposição de dados no Ministério da Saúde

Desta vez, credenciais de sistema estavam expostas na função “inspecionar elemento” dos navegadores.

SEGURANÇA
Embraer sofre ataque e vazamento de dados

A própria empresa divulgou incidente, que gerou impacto temporário em algumas operações.