Início » Antivírus e Segurança » Exclusivo: Vazamento de 223 milhões de CPFs é vendido em “promoção” por US$ 30 mil

Exclusivo: Vazamento de 223 milhões de CPFs é vendido em “promoção” por US$ 30 mil

Vazamento traz dados de endereço, telefone, score de crédito, renda, INSS e mais; hacker vende 40 lotes por US$ 750 cada

Felipe VenturaPor

O vazamento com dados de 223 milhões de CPFs e 40 milhões de CNPJs está à venda por um preço bem menor que o cobrado inicialmente, segundo apurou o Tecnoblog: são US$ 30 mil por informações como endereço, e-mail, telefone, título de eleitor, score de crédito, renda, poder aquisitivo, vínculos familiares e INSS. O incidente de segurança vem sendo investigado pela polícia.

Dados vazados (Imagem: Vitor Pádua/Tecnoblog)

Dados vazados (Imagem: Vitor Pádua/Tecnoblog)

Como dados pessoais vazados estão sendo vendidos?

O hacker esquematizou a venda da seguinte maneira: ele dividiu o vazamento em 40 partes; a primeira delas é enviada sem pagamento prévio. Quem estiver interessado paga US$ 750 em bitcoin, avisa por mensagem que fez o depósito, e recebe o link para baixar a parte 2. Isso é repetido sucessivamente para todos os arquivos seguintes, totalizando os US$ 30 mil.

Cada porção do vazamento traz dados de exatamente 5.593.481 CPFs e 1.004.596 CNPJs. Ao todo, são 960 GB em arquivos (96 GB quando comprimidos).

O anúncio, divulgado em um fórum pelo mesmo vendedor que havia anunciado os 223 milhões de CPFs, é intitulado “Serasa Experian Full Database”. A Serasa já negou diversas vezes que seja a fonte, apontando que não possui dados como cadastros de INSS, registros de veículos e informações do LinkedIn – todas presentes no vazamento.

“Até o momento não há nenhuma evidência de que dados tenham sido obtidos ilegalmente da Serasa”, disse a empresa em comunicado recente. “Também não há nenhuma evidência de que seus sistemas tenham sido comprometidos.”

Especialistas acreditam que o hacker obteve essas informações de diversas fontes. Ele não divulga de onde conseguiu tudo isso, mas garante que essas bases de dados são usadas “pelos maiores provedores de big data no Brasil”.

Arquivo com dados vazados cita nome de servidor SQL e tabelas (Imagem: Reprodução)

Arquivo com dados vazados cita nome de servidor SQL e tabelas (Imagem: Reprodução)

Por que o hacker está cobrando menos pelo vazamento?

Quando o vazamento foi anunciado em janeiro, havia uma escala de preço: um pacote com cem CPFs custava US$ 100; quem levasse duas mil unidades pagava proporcionalmente menos (US$ 500); e quem comprasse dados de vinte mil pessoas pagava US$ 2 mil. Com isso, a Folha estimou que o hacker poderia faturar cerca de US$ 15 milhões.

Por que agora ele está cobrando US$ 30 mil? Há fortes indícios de que os dados são mesmo legítimos, e os compradores poderão testar isso, já que a parte 1 do vazamento é uma amostra “grátis”: o comprador não precisa pagar por ela imediatamente, mas o valor será cobrado para liberar a última parte (de número 40).

No arquivo “grátis”, o comprador poderá verificar se os dados dos 5,5 milhões de CPFs, organizados sequencialmente, realmente são válidos. Se houvesse informações falsas, isso iria prejudicar o vendedor, que não ganharia nenhum centavo.

Então o que pode ter derrubado o preço? Ainda há poucas informações sobre isso, mas o Tecnoblog apurou que o megavazamento atraiu o interesse de outros hackers e pesquisadores de segurança, e eles teriam conseguido obter o arquivo completo.

Autoridades investigam vazamento de CPFs

CPF (Imagem: Emerson Alecrim/Tecnoblog)

CPF (Imagem: Emerson Alecrim/Tecnoblog)

O hacker teve um pouco mais de dificuldade em vender o vazamento depois que caiu na mira do STF (Supremo Tribunal Federal). O ministro Alexandre de Moraes determinou no início de fevereiro que quatro links relacionados ao assunto fossem derrubados, incluindo o tópico de fórum que vendia a base de dados; ele também deveria ser retirado do Google, Bing e outros serviços de busca.

Nada disso aconteceu – o link em si funciona até hoje e ainda aparece em resultados de pesquisa – mas o tópico foi apagado. O último post público do vendedor no fórum em questão é de 18 de janeiro.

A ANPD (Autoridade Nacional de Proteção de Dados) está investigando o vazamento de 223 milhões de CPFs. A Polícia Federal, por sua vez, também apura o incidente sob ordem do STF.

Como detalhou o Tecnoblog com exclusividade, estas são as categorias presentes no vazamento de CPFs e CNPJs:

Categorias no vazamento de CPFsCategorias no vazamento de CNPJs
– básico (nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe)

– estado civil

– vínculo familiar

– e-mail

– telefone

– endereço

– domicílios

– escolaridade

– universitários (nome da faculdade, curso, ano de entrada e ano de conclusão)

– ocupação

– emprego

– salário

– renda

– classe social

– poder aquisitivo

– Bolsa Família

– título de eleitor

– RG

– FGTS

– CNS (Cartão Nacional de Saúde)

NIS (Número de Identificação Social)

PIS/PASEP

– INSS

IRPF (imposto de renda)

– Receita Federal

– score de crédito

– devedores

– cheques sem fundos

– Mosaic

– afinidade

– modelo analítico (prevê chance de consumidor ter afinidade para comprar um produto ou serviço)

– fotos de rostos

– LinkedIn (número ID e URL de acesso do perfil)

– empresarial (nome do sócio, participação, razão social etc.)

– servidores públicos

– conselhos (pessoas que prestam consultoria no âmbito público ou privado)

– óbitos

– básico (CNPJ, razão social, nome fantasia, inscrição etc.)

– telefone

– endereço

– empresarial (nome e CPF dos sócios, participação)

– natureza jurídica (sociedade anônima, empresário individual etc.)

– representante legal

– classe de operação

– valor do capital social

– Simples Nacional e SIMEI

– Receita Federal

– Sintegra

– CNAE

– Mosaic

– score de crédito

– cheques sem fundos

– devedores

Comentários da Comunidade

Participe da discussão
9 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Sérgio (@trovalds)

Essa magnitude de dados é impossível de ser obtida via vazamento ou mesmo uma invasão. Quer dizer, a não ser que o servidor estivesse muito desprotegido. E, mesmo assim, alguém executando scripts de recuperação de dados ia demorar uns bons minutos (ou até horas) pra conseguir extrair tudo. Algum tipo de “alarme” ia ser disparado e os responsáveis iam conter o roubo de dados. Dito isso…

Quem fez o roubo é um profissional de banco de dados (DBA) e que tinha acesso privilegiado E direto às bases. Ele não precisou contornar nenhum tipo de restrição de segurança e muito menos invadir algum servidor. Ele simplesmente entrou, pegou o que queria e saiu. E o banco de dados a que ele teve acesso certamente tinha apontamentos de leitura pra outros bancos de dados privilegiados também. E nisso, além do acesso privilegiado, ele teve tempo. E indo mais além: a pessoa CONHECIA as bases de dados. Criou um script antecipadamente pra extrair todos os dados, rodou, condensou tudo e o resto já se sabe.

E, é claro que uma massa de dados dessa magnitude e com esse montante de informações ia começar a se espalhar. Quem conseguiu vendeu, o seguinte certamente já está dando jeito de vender também. Fora que quem tem isso está em posse de informações extremamente importantes que podem iniciar uma onda de golpes financeiros absurda. Basicamente: o sistema que se baseia nessa informações vai ter que sofrer mudanças sérias. E por mais que isso soe absurdo, quando começarem a pipocar as vítimas de golpe e elas começarem a cobrar bancos e instituições de crédito pelo prejuízo, a conta vai ficar bem mais alta.