Várias dúvidas surgiram após o vazamento de 223 milhões de CPFs, entre elas: como saber se meu documento foi vazado? O desenvolvedor Allan Fernando resolveu ajudar criando o site Fui Vazado, que permite conferir se seus dados pessoais – como nome completo, score de crédito, salário e foto de rosto – foram expostos. Há outra ferramenta que permite consultar se sua empresa está entre os 40 milhões de CNPJs que também foram afetados.
- ATUALIZAÇÃO: Site Fui Vazado fica fora do ar após ordem do STF
- O que fazer em caso de vazamento de dados pessoais?
Site permite consultar se CPF foi vazado (Imagem: Reprodução/Fui Vazado)
Como saber se seu CPF foi vazado
No site Fui Vazado, você insere seu CPF e data de nascimento, e verifica se seus dados fazem parte do vazamento. Devido à alta demanda, talvez você se depare com o erro 524 de timeout.
Allan garante que não guarda o CPF e a data de nascimento inseridos pelos usuários para fazer a consulta: “eu não fiz nenhum sistema de log, e os únicos dados que tenho sobre os acessos são os que são gerados pela CloudFlare”, informa o desenvolvedor ao Tecnoblog.
A ferramenta não revela os dados em si que foram expostos no vazamento, apenas as categorias em que você foi afetado: por exemplo, seu telefone e endereço podem ter vazado, mas não a foto de rosto e informações sobre dívidas.
Site mostra categorias em que seus dados vazaram (Imagem: Reprodução/Fui Vazado)
“Esse site tem a exclusiva finalidade de servir de consultar para que todos afetados pelo vazamento saibam se seus dados foram vazados e quais foram”, explica Allan na página do projeto. “Os únicos dados armazenados são CPF, nome completo, data de nascimento, sexo/gênero e uma lista de 37 itens.”
Vale lembrar que existem dois vazamentos distintos, ambos envolvendo 223 milhões de CPFs. O primeiro deles inclui apenas o CPF, nome, data de nascimento e gênero; ele estava sendo oferecido de graça na internet.
Por sua vez, o segundo vazamento – cujos detalhes foram divulgados com exclusividade pelo Tecnoblog – é bem mais completo e está à venda. Ele traz dados sobre e-mail, telefone, endereço, ocupação, score de crédito, situação cadastral na Receita Federal, fotos de rosto, entre outros; são 37 categorias no total. O arquivo inclui a lista dos 223 milhões de CPFs afetados, mais uma prévia gratuita dos dados, e isso está circulando na internet.
Allan usou os dados do vazamento menor, mais a prévia gratuita do vazamento maior, para criar o site Fui Vazado. É uma iniciativa semelhante ao Have I Been Pwned, que notifica sobre senhas expostas.
Site permite consultar vazamento de CNPJ
Site permite consultar se CNPJ está no vazamento (Imagem: Reprodução/Syhunt)
Felipe Daragon, fundador da empresa de segurança Syhunt, criou uma forma de verificar se o CNPJ de uma empresa está entre os 40 milhões que vazaram. Aqui também há dois casos distintos, mas conectados: o primeiro vazamento traz o nome fantasia e data de fundação; o segundo inclui dados sobre dívidas, score de crédito e mais.
A consulta pode ser feita através do site BLB20 LeakCheck; Daragon apelidou o vazamento de BLB20 (Big Leak do Brasil 2020). Nele, é necessário inserir o número do CNPJ e algumas informações adicionais para garantir que quem está fazendo a checagem é a empresa correspondente. “Apenas o responsável pelo CNPJ pode solicitar um relatório”, avisa a página.
Daragon diz ao Tecnoblog que processou cerca de 50 GB de dados e mapeou exatamente o que vazou por CNPJ, conseguindo gerar um relatório em segundos. Ele também analisou os dados de CPF, mas preferiu seguir somente com a checagem de CNPJ com validação.
Site sobre vazamento de CPFs rende processo judicial?
Esse cartãozinho azul com o número do CPF foi extinto. Se você tem um, está com uma relíquia nas mãos (Imagem: Paulo Higa/Tecnoblog)
O site Fui Vazado pode criar algum problema jurídico? Provavelmente não, porque ele oferece uma consulta gratuita aos dados sem revelá-los, conforme explicam ao Tecnoblog os advogados Adriano Mendes e Luiz Augusto D’Urso, ambos especialistas em direito digital.
“Se ele justificar esse site como um todo baseado em um legítimo interesse da LGPD, ele consegue fazer isso com um acesso a dados pessoais de pessoas físicas”, explica Mendes. Não seria permitido guardar quem solicitou a consulta aos dados, e eles não poderiam ser utilizados para outro fim.
“Mas isso por si só não é uma infração à LGPD, porque ele vai estar baseado numa estrutura de legítimo interesse – é o nome da base legal”, afirma o advogado. Isso vale tanto para pessoa física (CPF) quanto para pessoa jurídica (CNPJ).
A restrição seria caso ele queira “vender algum serviço pago ou tiver alguma finalidade econômica sobre esse banco de dados”, diz Mendes, porque dependeria de uma prévia autorização ou contrato.
Luiz Augusto D’Urso acredita que um serviço como o Fui Vazado está dentro da legalidade, por se tratar de uma ferramenta de pesquisa que acessa um banco de dados que já foi vazado, só dando o resultado para o usuário que consultar se o dado dele está no meio.
“Ele não está vendendo nenhum serviço relacionado a CPF, está distribuindo gratuitamente uma pesquisa na internet nos bancos de dados vazados… ele só faz a análise da informação e entrega para a pessoa, se teve dado vazado ou não”, explica D’Urso ao Tecnoblog. “Não vejo processo nenhum contra ele.”
Comentários da Comunidade
Participe da discussãoOs mais notáveis
Vou colocar meu CPF num site para ser vazado e saber se fui vazado.
hahaha foi exatamente o que eu pensei.
O CPF é o de menos, é uma das coisas mais fáceis de se descobrir, qualquer Diário Oficial vai ter isso, talvez várias vezes até.
Isso não quer dizer que justifique vc tratar um dado único seu como se fosse qualquer coisa.
As pessoas normalizaram o dar o CPF na farmácia.
Alguns anos atrás tinha um site que tu colocava o nome da pessoa e aparecia CPF, idade, endereço, parentes e vizinhos. Testei com 8 pessoas e todas deu certo.
Inocência achar que tudo já não tá na internet.
Faz o que tu quiser.
Super seguro
Já ouviu falar no site “Have I Been Pwned”?
Não é uma ideia ruim, eu mesmo pensei em fazer isso. No entanto, não acho que deveria perguntar a data de nascimento pra consultar a base, só o CPF é necessário (e isso me deixa pensando…).
E que não há qualquer garantia de que ele não colete esses dados (ou outros). “Fulano garante” é pra rir? “La garantia soy yo”? Acho que o Tecnoblog deveria colocar um aviso/nota. Primeiro pra deixar o leitor desavisado ciente e também “tirarem o da reta”.
Ele poderia pedir (pagar?) alguma empresa para que auditasse o código ou mesmo ter feito em código-aberto.
Outra coisa é que isso também demonstra o quão lento é o Estado. E não estou dizendo necessariamente que o Estado deveria fazer uma ferramenta dessas. Mas poderia ter checado a sua própria base e informado que, se verdadeiro, o vazamento atingiria X cidadãos brasileiros (vivos, nem precisava dizer, né?).
E agora em tempos de pandemia,onde vc fica longe do balcão,vc é obrigado a gritar o número do seu CPF. Bizarro,neh?!!
Já…,… Esse é antigo até.
Olha no whois que você vai saber exatamente quem processar
queria colocar, mas ai vc vai dar seu CPF num site aleatório kkkk
O meu CPF ainda é num cartãozinho de papel.
DW = Dark Web
Tá mais fácil baixar o arquivo ilegal e fazer a busca. O site faz uma verificação, depois pede o capcha de imagens, só pra mostrar que tá fora do ar.
O site não abre de jeito de nenhum kkk então n saberei nunca
Se já está vazado… o que é um peido… kkk
Tá mesmo. Acho que ele foi hospedado na HostGator kkkkkkkkkkkkk
Quando tu coloca teu CPF e tua data de nascimento, tu está informando teu nome de quebra;
Estranho, pois CPF e data de nascimento são os dois campos utilizado para saber a situação cadastral na receita.
No site da receita serão informados mais informações importantes, como nome completo.
Com essas informações, será possível encontrar muitas outras;
Várias consultas na receita federal são realizadas somente com CPF e data de nascimento.
Saber se seus dados foram vazados, não te ajuda muito em nada;
Saber lidar e acompanhar com as mensagens, emails, contatos que chegam até vc pq seus dados foram vazados, eh a verdadeira questão!
Manter seus cadastro positivo ativo, eh uma boa forma de acompanhar o que acontece com teu CPF, visto que muitas movimentações aparecem lá!
Como são informações atrasadas, quando vc se der conta, o estrago maior já estará feito, visto que o principal já foi realizado com o vazamento dos dados
Todo santo dia recebo mensagem sms pedindo pra eu recuperar as milhas de um cartão que nunca tive;
Como conseguiram meu número? Não sei!
A certeza que tenho é que devo ficar alerta 24h
Rolou denúncia hein
CloudFlare flagou como phishing.
image1052×526 42.8 KB
Se você ou alguém conseguir provar a fonte dos dados e você conseguir que você sofreu algum dano por causa dos dados vazados dessa fonte específica, sim.
O que exatamente o site iria coletar? Seu CPF e data de nascimento ele já tem no banco de dados.
Você diz isso agora porque ele publicou o fonte. Mas antes não tinha mesmo como saber.
Ainda assim não pretendo usar o site. Não quero ter uma preocupação extra, a cagada já está feita.
E o cara que vazou está ganhando muito dinheiro em cima disso. Porque já está chovendo desesperados no tópico da oferta.
Publicar o código fonte é a mesma coisa que nada, pois você não sabe o que está rodando do lado do servidor (pode ser qualquer coisa).
No caso desse site as únicas informações que ele pede são o CPF e a data de nascimento, que hoje em dia são praticamente informações públicas.
Sim, concordo que o fonte aberto nem sempre representa o que roda por trás, ainda mais se tratando de back-end. Apesar de eu pensar que não seja essa a situação aqui. Então minha postura acaba sendo neutra.
Agora deixa eu corrigir um pequeno erro nessa afirmação:
Pense de forma contrária se tivéssemos certeza de que a tal base não existe, então a consulta poderia na verdade cadastrar o CPF no banco:
Como o usuário não sabe a situação dos dados dele no tal banco, o servidor poderia registrar os dados e gerar o resultado na demanda preenchendo aleatoriamente. No acesso seguinte, o banco iria encontrar o registro pelo CPF e data de nascimento e retornar o mesmo resultado da outra vez, para garantir que aquele registro sempre retorne as mesmas informações forjadas. Assim o usuário nunca suspeitaria do resultado.
Mesmo uma base com apenas CPF e data de nascimento já tem algum valor, junte isso com as inúmeras APIs abertas que o governo deve ter e você consegue praticamente o cadastro completo da pessoa, ainda mais fácil se for jurídica.
Entendo o que você está falando, mas para o exemplo que você deu funcionar o site precisaria pedir no mínimo o seu nome junto com o CPF e data de nascimento (já que esse site mostra o nome). Essa combinação eu já não preencheria.
Enfim, estamos todos ferrados. Agora é torcer pra não ser “sorteado” na loteria dos golpistas.
Daqui a pouco a Serasa vai começar a recomendar que que todos que tiveram os dados vazados assinem o serviço de monitoramento deles
não vejo o porque consultar, pela quantidade vazada é melhor presumir que todo mundo do brasil teve suas informações vazadas
@felipe voce sabe da procedencia do portal fuivazado.com.br? Voce conhece o Allan? Pq vcs meio que estao indicando um site que pode estar coletando mais informacoes ao inves de realmente ajudar. Como desenvolvedor de sistemas, ainda nao consigo entender o motivo da aplicacao pedir CPF e data de nascimento para verificar se os dados estao na base. Justamente a chave composta da receita federal
Algumas dúvidas sobre o Fui Vazado foram abordadas aqui:
Se seus dados não foram vazados ainda, agora serão rs.
Exatamente o meu argumento. Se ele tem de fato tem a base, o CPF é o suficiente pra realizar a consulta.
Claro, tem a chance de ter mais de um CPF, já que há pessoas falecidas e poderia ter havido um reaproveitamento de CPF (especulação). Se for essa a preocupação, bastaria perguntar apenas o ano de nascimento, para caso a consulta no BD retorne com dois ou mais resultados, o sistema saiba discernir qual das dos dois deve ser mostrado.
Já foi dito, redito e repetido que tem mais CPFs vazados do que habitantes no Brasil porque a lista deve incluir CPFs inativos e de falecidos.