Descubra se seu CPF está entre os 5,6 milhões do megavazamento de dados
Trecho do megavazamento de 223 milhões de CPFs foi divulgado por hacker e inclui lista de parentes, endereço, poder aquisitivo e mais; saiba se você foi afetado
Trecho do megavazamento de 223 milhões de CPFs foi divulgado por hacker e inclui lista de parentes, endereço, poder aquisitivo e mais; saiba se você foi afetado
O megavazamento de CPFs, cujos detalhes foram revelados no início de 2021, continua à venda na internet. Segundo apurou o Tecnoblog, para atrair mais clientes, um hacker compartilhou um trecho com dados pessoais sobre quase 5,6 milhões de brasileiros, tais como lista de parentes, endereço, poder aquisitivo e score de crédito. Veja abaixo como conferir se você foi afetado.
Este é um trecho do megavazamento de 223 milhões de CPFs, um volume tão grande de informações que inclui até mesmo falecidos. Em janeiro de 2021, ele estava sendo vendido em um fórum de hackers por US$ 0,075 a US$ 1 por CPF – quanto mais dados fossem comprados, menor era o custo unitário.
A tendência é que o preço de um vazamento vá caindo ao longo do tempo, à medida que ele é distribuído e revendido por mais pessoas.
Por isso, em março de 2021, o hacker fez uma proposta diferente: dividiu o arquivo em 40 partes com 5.593.481 CPFs cada. Ele cobrava “só” US$ 750 por lote, e o primeiro trecho podia ser baixado sem pagamento prévio.
É nessa “amostra grátis” do megavazamento que estão os dados sobre 5,6 milhões de brasileiros.
Desse total, cerca de 2,5 mil são políticos eleitos em 2018 e 2020. O arquivo pode ser um risco até para eles, pois revela informações que não são de conhecimento público, como endereço residencial, telefone pessoal, CPF dos parentes e dados de aposentadoria do INSS.
O arquivo divulgado pelo hacker traz CPFs listados em ordem crescente, desde os que começam em 000 até os que se iniciam em 006 (com algumas exceções).
As pessoas afetadas têm CPF com os seguintes formatos:
Não há uma ferramenta para consultar se seus dados estão no arquivo, e provavelmente nem haverá: no ano passado, o STF (Supremo Tribunal Federal) exigiu a retirada do site Fui Vazado, que permitia fazer uma consulta por CPF e ver quais tipos de dados constavam no megavazamento.
Se você foi afetado por essa amostra do megavazamento, é importante redobrar os cuidados com a segurança – e não estamos falando aqui somente de senhas fortes e autenticação de dois fatores. Dados como RG, vínculo familiar, endereço, emprego e poder aquisitivo podem ser usados em golpes de engenharia social.
Por exemplo, temos o golpe de phishing: neste caso, o criminoso tenta convencer que você está falando com uma entidade confiável, como seu banco ou um parente. Os dados vazados ajudam a escolher alvos e a extrair mais informações das vítimas.
Há também o spoofing, no qual o golpista tenta se passar por você usando dados pessoais para acessar contas, fazer compras ou roubar sua identidades.
Ensinamos aqui o que fazer em caso de vazamento de dados pessoais. Infelizmente, essas informações estão circulando desde pelo menos março de 2021, e devem continuar na mão de criminosos pelos próximos anos.
O Tecnoblog apurou que essa amostra grátis ainda circula pela internet. O arquivo foi inicialmente distribuído via mensagem direta no fórum de hackers, e armazenado em um link do Mega que já está fora do ar.
A ideia provavelmente era chamar menos a atenção das autoridades. O vendedor dos dados dizia em mensagem a usuários do fórum: “não solicite endereço de e-mail nem outra forma de comunicação; todas as vendas são feitas apenas via mensagem privada”.
A amostra do megavazamento se chama “Group 01” ou “Grupo 01” e era vendida pelo usuário JustBR, que é procurado pela Polícia Federal.
No fórum de hackers, dois usuários diferentes foram acusados de faturar dinheiro com essa amostra grátis. Em um post de março que anunciava a venda dos dados, um perfil com alta reputação disse: “dados do JustBR, compilados no Group 01 já lançado por ele”.
Em outra thread de venda, desta vez de dezembro, o mesmo perfil alertou: “revendendo coisas grátis do JustBR…”. É um indício de que os dados de 5,6 milhões de brasileiros continuam nas mãos de hackers.
O JustBR não posta no fórum de hackers desde março de 2021. No mesmo mês, a PF prendeu o hacker Marcos Roberto Correia da Silva, que atendia pelo pseudônimo Vandathegod e também estaria envolvido na venda do megavazamento.
Abaixo seguem as 37 bases de dados presentes no megavazamento de CPFs. Vale lembrar que nem toda categoria traz informações sobre um determinado CPF: por exemplo, se a pessoa não recebe Bolsa Família, ela não estará na pasta “Bolsa Família”; se nunca usou cheque, não constará na lista “cheques sem fundos”; e assim por diante.
Leia | O que é doxxing?