Descubra se seu CPF está entre os 5,6 milhões do megavazamento de dados
Trecho do megavazamento de 223 milhões de CPFs foi divulgado por hacker e inclui lista de parentes, endereço, poder aquisitivo e mais; saiba se você foi afetado
O megavazamento de CPFs, cujos detalhes foram revelados no início de 2021, continua à venda na internet. Segundo apurou o Tecnoblog, para atrair mais clientes, um hacker compartilhou um trecho com dados pessoais sobre quase 5,6 milhões de brasileiros, tais como lista de parentes, endereço, poder aquisitivo e score de crédito. Veja abaixo como conferir se você foi afetado.
- O que fazer em caso de vazamento de dados pessoais?
- Exclusivo: dados confidenciais de 2,5 mil políticos estão em “amostra” de megavazamento
Tabela de conteúdos
De onde vieram esses 5,6 milhões de CPFs?
Este é um trecho do megavazamento de 223 milhões de CPFs, um volume tão grande de informações que inclui até mesmo falecidos. Em janeiro de 2021, ele estava sendo vendido em um fórum de hackers por US$ 0,075 a US$ 1 por CPF – quanto mais dados fossem comprados, menor era o custo unitário.
A tendência é que o preço de um vazamento vá caindo ao longo do tempo, à medida que ele é distribuído e revendido por mais pessoas.
Por isso, em março de 2021, o hacker fez uma proposta diferente: dividiu o arquivo em 40 partes com 5.593.481 CPFs cada. Ele cobrava “só” US$ 750 por lote, e o primeiro trecho podia ser baixado sem pagamento prévio.
É nessa “amostra grátis” do megavazamento que estão os dados sobre 5,6 milhões de brasileiros.
Desse total, cerca de 2,5 mil são políticos eleitos em 2018 e 2020. O arquivo pode ser um risco até para eles, pois revela informações que não são de conhecimento público, como endereço residencial, telefone pessoal, CPF dos parentes e dados de aposentadoria do INSS.
Quais CPFs estão na amostra do megavazamento?
O arquivo divulgado pelo hacker traz CPFs listados em ordem crescente, desde os que começam em 000 até os que se iniciam em 006 (com algumas exceções).
As pessoas afetadas têm CPF com os seguintes formatos:
- 000.xxx.xxx-xx
- 001.xxx.xxx-xx
- 002.xxx.xxx-xx
- 003.xxx.xxx-xx
- 004.xxx.xxx-xx
- 005.xxx.xxx-xx
- 006.0xx.xxx-xx
- 006.1xx.xxx-xx
- 006.2xx.xxx-xx
- 006.3xx.xxx-xx
- 006.4xx.xxx-xx
- 006.5xx.xxx-xx
- 006.6xx.xxx-xx
- 006.7xx.xxx-xx
Não há uma ferramenta para consultar se seus dados estão no arquivo, e provavelmente nem haverá: no ano passado, o STF (Supremo Tribunal Federal) exigiu a retirada do site Fui Vazado, que permitia fazer uma consulta por CPF e ver quais tipos de dados constavam no megavazamento.
Meu CPF está na lista, o que fazer?
Se você foi afetado por essa amostra do megavazamento, é importante redobrar os cuidados com a segurança – e não estamos falando aqui somente de senhas fortes e autenticação de dois fatores. Dados como RG, vínculo familiar, endereço, emprego e poder aquisitivo podem ser usados em golpes de engenharia social.
Por exemplo, temos o golpe de phishing: neste caso, o criminoso tenta convencer que você está falando com uma entidade confiável, como seu banco ou um parente. Os dados vazados ajudam a escolher alvos e a extrair mais informações das vítimas.
Há também o spoofing, no qual o golpista tenta se passar por você usando dados pessoais para acessar contas, fazer compras ou roubar sua identidades.
Ensinamos aqui o que fazer em caso de vazamento de dados pessoais. Infelizmente, essas informações estão circulando desde pelo menos março de 2021, e devem continuar na mão de criminosos pelos próximos anos.
Vazamento ainda circula na internet
O Tecnoblog apurou que essa amostra grátis ainda circula pela internet. O arquivo foi inicialmente distribuído via mensagem direta no fórum de hackers, e armazenado em um link do Mega que já está fora do ar.
A ideia provavelmente era chamar menos a atenção das autoridades. O vendedor dos dados dizia em mensagem a usuários do fórum: “não solicite endereço de e-mail nem outra forma de comunicação; todas as vendas são feitas apenas via mensagem privada”.
A amostra do megavazamento se chama “Group 01” ou “Grupo 01” e era vendida pelo usuário JustBR, que é procurado pela Polícia Federal.
No fórum de hackers, dois usuários diferentes foram acusados de faturar dinheiro com essa amostra grátis. Em um post de março que anunciava a venda dos dados, um perfil com alta reputação disse: “dados do JustBR, compilados no Group 01 já lançado por ele”.
Em outra thread de venda, desta vez de dezembro, o mesmo perfil alertou: “revendendo coisas grátis do JustBR…”. É um indício de que os dados de 5,6 milhões de brasileiros continuam nas mãos de hackers.
O JustBR não posta no fórum de hackers desde março de 2021. No mesmo mês, a PF prendeu o hacker Marcos Roberto Correia da Silva, que atendia pelo pseudônimo Vandathegod e também estaria envolvido na venda do megavazamento.
Os tipos de dados na amostra do megavazamento
Abaixo seguem as 37 bases de dados presentes no megavazamento de CPFs. Vale lembrar que nem toda categoria traz informações sobre um determinado CPF: por exemplo, se a pessoa não recebe Bolsa Família, ela não estará na pasta “Bolsa Família”; se nunca usou cheque, não constará na lista “cheques sem fundos”; e assim por diante.
- básico (nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe)
- estado civil
- vínculo familiar
- telefone
- endereço
- domicílios
- escolaridade
- universitários (nome da faculdade, curso, ano de entrada e ano de conclusão)
- ocupação
- emprego
- salário
- renda
- classe social
- poder aquisitivo
- Bolsa Família
- título de eleitor
- RG
- FGTS
- CNS (Cartão Nacional de Saúde)
- NIS (Número de Identificação Social)
- PIS/PASEP
- INSS
- IRPF (imposto de renda)
- Receita Federal
- score de crédito
- devedores
- cheques sem fundos
- Mosaic
- afinidade
- modelo analítico (prevê chance de consumidor ter afinidade para comprar um produto ou serviço)
- fotos de rostos
- LinkedIn (número ID e URL de acesso do perfil)
- empresarial (nome do sócio, participação, razão social etc.)
- servidores públicos
- conselhos (pessoas que prestam consultoria no âmbito público ou privado)
- óbitos
