O vazamento de mais de 220 milhões de CPFs é vendido em “promoção” por 30 mil dólares - NoroesteOnline.comNoroesteOnline.com ">

O vazamento de mais de 220 milhões de CPFs é vendido em “promoção” por 30 mil dólares

7 de março de 2021

O vazamento com dados de 223 milhões de CPFs e 40 milhões de CNPJs está à venda por um preço bem menor que o cobrado inicialmente, segundo apurou o site Tecnoblog: são US$ 30 mil por informações como endereço, e-mail, telefone, título de eleitor, score de crédito, renda, poder aquisitivo, vínculos familiares e INSS. O incidente de segurança vem sendo investigado pela polícia.

O hacker esquematizou a venda da seguinte maneira: ele dividiu o vazamento em 40 partes; a primeira delas é enviada sem pagamento prévio. Quem estiver interessado paga US$ 750 em bitcoin, avisa por mensagem que fez o depósito, e recebe o link para baixar a parte 2. Isso é repetido sucessivamente para todos os arquivos seguintes, totalizando os US$ 30 mil.

Cada porção do vazamento traz dados de exatamente 5.593.481 CPFs e 1.004.596 CNPJs. Ao todo, são 960 GB em arquivos (96 GB quando comprimidos). O anúncio, divulgado em um fórum pelo mesmo vendedor que havia anunciado os 223 milhões de CPFs, é intitulado “Serasa Experian Full Database”. A Serasa já negou diversas vezes que seja a fonte, apontando que não possui dados como cadastros de INSS, registros de veículos e informações do LinkedIn – todas presentes no vazamento.

“Até o momento não há nenhuma evidência de que dados tenham sido obtidos ilegalmente da Serasa”, disse a empresa em comunicado recente. “Também não há nenhuma evidência de que seus sistemas tenham sido comprometidos.”

Especialistas acreditam que o hacker obteve essas informações de diversas fontes. Ele não divulga de onde conseguiu tudo isso, mas garante que essas bases de dados são usadas “pelos maiores provedores de big data no Brasil”.

Quando o vazamento foi anunciado em janeiro, havia uma escala de preço: um pacote com cem CPFs custava US$ 100; quem levasse duas mil unidades pagava proporcionalmente menos (US$ 500); e quem comprasse dados de vinte mil pessoas pagava US$ 2 mil.

Por que agora ele está cobrando US$ 30 mil? Há fortes indícios de que os dados são mesmo legítimos, e os compradores poderão testar isso, já que a parte 1 do vazamento é uma amostra “grátis”: o comprador não precisa pagar por ela imediatamente, mas o valor será cobrado para liberar a última parte (de número 40).

No arquivo “grátis”, o comprador poderá verificar se os dados dos 5,5 milhões de CPFs, organizados sequencialmente, realmente são válidos. Se houvesse informações falsas, isso iria prejudicar o vendedor, que não ganharia nenhum centavo.

Então o que pode ter derrubado o preço? Ainda há poucas informações sobre isso, mas o megavazamento atraiu o interesse de outros hackers e pesquisadores de segurança, e eles teriam conseguido obter o arquivo completo.

O hacker teve um pouco mais de dificuldade em vender o vazamento depois que caiu na mira do STF (Supremo Tribunal Federal). O ministro Alexandre de Moraes determinou no início de fevereiro que quatro links relacionados ao assunto fossem derrubados, incluindo o tópico de fórum que vendia a base de dados; ele também deveria ser retirado do Google, Bing e outros serviços de busca.

Nada disso aconteceu – o link em si funciona até hoje e ainda aparece em resultados de pesquisa – mas o tópico foi apagado. O último post público do vendedor no fórum em questão é de 18 de janeiro.

A ANPD (Autoridade Nacional de Proteção de Dados) está investigando o vazamento de 223 milhões de CPFs. A Polícia Federal, por sua vez, também apura o incidente sob ordem do STF.

Fonte: O Sul

EAD Unijuí 2023 | Conectando Futuros

2 de março de 2023
Copyrights 2018 ® - Todos os direitos reservados