Descubra se seu CPF está entre os 5,6 milhões do megavazamento de dados

Trecho do megavazamento de 223 milhões de CPFs foi divulgado por hacker e inclui lista de parentes, endereço, poder aquisitivo e mais; saiba se você foi afetado

Felipe Ventura

O megavazamento de CPFs, cujos detalhes foram revelados no início de 2021, continua à venda na internet. Segundo apurou o Tecnoblog, para atrair mais clientes, um hacker compartilhou um trecho com dados pessoais sobre quase 5,6 milhões de brasileiros, tais como lista de parentes, endereço, poder aquisitivo e score de crédito. Veja abaixo como conferir se você foi afetado.

De onde vieram esses 5,6 milhões de CPFs?

Este é um trecho do megavazamento de 223 milhões de CPFs, um volume tão grande de informações que inclui até mesmo falecidos. Em janeiro de 2021, ele estava sendo vendido em um fórum de hackers por US$ 0,075 a US$ 1 por CPF – quanto mais dados fossem comprados, menor era o custo unitário.

A tendência é que o preço de um vazamento vá caindo ao longo do tempo, à medida que ele é distribuído e revendido por mais pessoas.

Por isso, em março de 2021, o hacker fez uma proposta diferente: dividiu o arquivo em 40 partes com 5.593.481 CPFs cada. Ele cobrava “só” US$ 750 por lote, e o primeiro trecho podia ser baixado sem pagamento prévio.

É nessa “amostra grátis” do megavazamento que estão os dados sobre 5,6 milhões de brasileiros.

Desse total, cerca de 2,5 mil são políticos eleitos em 2018 e 2020. O arquivo pode ser um risco até para eles, pois revela informações que não são de conhecimento público, como endereço residencial, telefone pessoal, CPF dos parentes e dados de aposentadoria do INSS.

Quais CPFs estão na amostra do megavazamento?

O arquivo divulgado pelo hacker traz CPFs listados em ordem crescente, desde os que começam em 000 até os que se iniciam em 006 (com algumas exceções).

As pessoas afetadas têm CPF com os seguintes formatos:

  • 000.xxx.xxx-xx
  • 001.xxx.xxx-xx
  • 002.xxx.xxx-xx
  • 003.xxx.xxx-xx
  • 004.xxx.xxx-xx
  • 005.xxx.xxx-xx
  • 006.0xx.xxx-xx
  • 006.1xx.xxx-xx
  • 006.2xx.xxx-xx
  • 006.3xx.xxx-xx
  • 006.4xx.xxx-xx
  • 006.5xx.xxx-xx
  • 006.6xx.xxx-xx
  • 006.7xx.xxx-xx

Não há uma ferramenta para consultar se seus dados estão no arquivo, e provavelmente nem haverá: no ano passado, o STF (Supremo Tribunal Federal) exigiu a retirada do site Fui Vazado, que permitia fazer uma consulta por CPF e ver quais tipos de dados constavam no megavazamento.

Meu CPF está na lista, o que fazer?

Dados do INSS na amostra do megavazamento de CPFs
Dados do INSS na amostra do megavazamento de CPFs (Imagem: Reprodução)

Se você foi afetado por essa amostra do megavazamento, é importante redobrar os cuidados com a segurança – e não estamos falando aqui somente de senhas fortes e autenticação de dois fatores. Dados como RG, vínculo familiar, endereço, emprego e poder aquisitivo podem ser usados em golpes de engenharia social.

Por exemplo, temos o golpe de phishing: neste caso, o criminoso tenta convencer que você está falando com uma entidade confiável, como seu banco ou um parente. Os dados vazados ajudam a escolher alvos e a extrair mais informações das vítimas.

Há também o spoofing, no qual o golpista tenta se passar por você usando dados pessoais para acessar contas, fazer compras ou roubar sua identidades.

Ensinamos aqui o que fazer em caso de vazamento de dados pessoais. Infelizmente, essas informações estão circulando desde pelo menos março de 2021, e devem continuar na mão de criminosos pelos próximos anos.

Vazamento ainda circula na internet

Números de celular na amostra do megavazamento
Números de celular na amostra do megavazamento (Imagem: Reprodução)

O Tecnoblog apurou que essa amostra grátis ainda circula pela internet. O arquivo foi inicialmente distribuído via mensagem direta no fórum de hackers, e armazenado em um link do Mega que já está fora do ar.

A ideia provavelmente era chamar menos a atenção das autoridades. O vendedor dos dados dizia em mensagem a usuários do fórum: “não solicite endereço de e-mail nem outra forma de comunicação; todas as vendas são feitas apenas via mensagem privada”.

A amostra do megavazamento se chama “Group 01” ou “Grupo 01” e era vendida pelo usuário JustBR, que é procurado pela Polícia Federal.

No fórum de hackers, dois usuários diferentes foram acusados de faturar dinheiro com essa amostra grátis. Em um post de março que anunciava a venda dos dados, um perfil com alta reputação disse: “dados do JustBR, compilados no Group 01 já lançado por ele”.

Em outra thread de venda, desta vez de dezembro, o mesmo perfil alertou: “revendendo coisas grátis do JustBR…”. É um indício de que os dados de 5,6 milhões de brasileiros continuam nas mãos de hackers.

O JustBR não posta no fórum de hackers desde março de 2021. No mesmo mês, a PF prendeu o hacker Marcos Roberto Correia da Silva, que atendia pelo pseudônimo Vandathegod e também estaria envolvido na venda do megavazamento.

Os tipos de dados na amostra do megavazamento

Abaixo seguem as 37 bases de dados presentes no megavazamento de CPFs. Vale lembrar que nem toda categoria traz informações sobre um determinado CPF: por exemplo, se a pessoa não recebe Bolsa Família, ela não estará na pasta “Bolsa Família”; se nunca usou cheque, não constará na lista “cheques sem fundos”; e assim por diante.

Leia | O que é doxxing?

  1. básico (nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe)
  2. estado civil
  3. vínculo familiar
  4. e-mail
  5. telefone
  6. endereço
  7. domicílios
  8. escolaridade
  9. universitários (nome da faculdade, curso, ano de entrada e ano de conclusão)
  10. ocupação
  11. emprego
  12. salário
  13. renda
  14. classe social
  15. poder aquisitivo
  16. Bolsa Família
  17. título de eleitor
  18. RG
  19. FGTS
  20. CNS (Cartão Nacional de Saúde)
  21. NIS (Número de Identificação Social)
  22. PIS/PASEP
  23. INSS
  24. IRPF (imposto de renda)
  25. Receita Federal
  26. score de crédito
  27. devedores
  28. cheques sem fundos
  29. Mosaic
  30. afinidade
  31. modelo analítico (prevê chance de consumidor ter afinidade para comprar um produto ou serviço)
  32. fotos de rostos
  33. LinkedIn (número ID e URL de acesso do perfil)
  34. empresarial (nome do sócio, participação, razão social etc.)
  35. servidores públicos
  36. conselhos (pessoas que prestam consultoria no âmbito público ou privado)
  37. óbitos

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.