De onde saíram os CPFs?

A origem do recente vazamento de dados de mais de 220 milhões de pessoas, que expôs na dark web informações como nome, CPF, salário e endereço de possivelmente todos os brasileiros, tem suspeitos, mas segue sendo um mistério.

De acordo com a CNN Brasil, o hacker que fez a captura das informações disse à PSafe que obteve os dados na base do Serasa Experian entre 2018 e 2020.

“Temos a alegação do criminoso de que isso vazou da Serasa. Não temos uma confirmação independente e as autoridades estão investigando. Mas indicações de formato do arquivo levam a crer que ele conseguiu invadir a rede (da empresa)”, afirmou Marco de Mello, fundador e executivo-chefe da PSafe, à rede de notícias.

Na última semana, o Procon-SP e a Secretaria Nacional do Consumidor (Senacon) notificaram a Serasa Experian para que a empresa esclareça se parte desse vazamento teve origem em seu banco de dados. 

“Iremos aguardar a resposta da empresa para analisar e avaliar as penalidades compatíveis. As penas previstas na LGPD, que podem chegar a até R$ 50 milhões, poderão ser aplicadas a partir de agosto, mas o Procon-SP pode multar de acordo com o CDC", disse Fernando Capez, diretor executivo do Procon-SP, à CNN.

Caso enquadrado no Código de Defesa do Consumidor, o ocorrido pode gerar uma multa entre R$ 704 e R$ 10 milhões. Segundo o Senacon, há também a possibilidade de enquadramento como violação ao Marco Civil da Internet. 

Em nota, a Serasa informou que fez uma investigação e constatou que não há correspondência entre os campos das pastas disponíveis na web com os campos dos seus sistemas.

“Os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos”, declarou a companhia.

Na última sexta-feira, 29, mais um capítulo da história veio à tona: um hacker que tem acesso à dark web e a detalhes do vazamento afirmou ao site CISO Advisor que os dados realmente não vieram da Serasa Experian. 

Segundo a pessoa, as informações vazadas “vêm de uma empresa interligada com o governo”. A fonte disse que não tem nenhuma participação no incidente e que teve conhecimento dos detalhes em conversas no fórum.

O Procon-SP também enviou um ofício à Polícia Civil de São Paulo pedindo que a Divisão de Crimes Cibernéticos instaure um inquérito para apurar o caso. As duas instituições devem trabalhar em colaboração para investigar o ocorrido. 

A Ordem dos Advogados do Brasil (OAB) também se manifestou em ofício despachado à Autoridade Nacional de Proteção de Dados (ANPD). A instituição pediu a adoção imediata de medidas para apurar o vazamento.