Exclusivo: o que há no vazamento que afetou 40 milhões de CNPJs

Vazamento inclui detalhes de 40 milhões de CNPJs como score de crédito e dívidas; Serasa nega ser fonte dos dados

Felipe Ventura
• Atualizado há 1 ano e 3 meses

Um arquivo com mais de 40 milhões de CNPJs está circulando na internet com o nome fantasia e a razão social das pessoas jurídicas. Conforme apurou o Tecnoblog, esta é a prévia de outra base ainda maior, que inclui o score de crédito, dívidas, lista de sócios e mais. A suspeita é que esses dados tenham vindo da Serasa Experian, assim como o vazamento que afetou 220 milhões de brasileiros; a empresa nega.

Notebook (Imagem: Flickr/Visual Content)
Notebook (Imagem: Flickr/Visual Content)

Dois vazamentos de CNPJs

Existem dois vazamentos distintos. Um deles parece mais inofensivo, porque inclui apenas o CNPJ, razão social, nome fantasia e data de fundação das empresas.

Este conjunto de dados está sendo distribuído de graça em um conhecido fórum na internet aberta (não na dark web). Ele contém 2,9 GB de dados e teria sido compilado em agosto de 2019. No total, há 40.183.784 CNPJs listados.

Então temos o segundo vazamento, mais completo, também com 40.183.784 CNPJs. Ele traz muitas outras informações: e-mail, telefone, endereço (com latitude e longitude), lista de sócios com CPF e participação acionária, representante legal e valor do capital social.

Vazamento veio da Serasa Experian?

Vários desses dados poderiam ser obtidos através do site da Receita Federal, mas não todos – e isso dá a pista de onde esse conteúdo pode ter surgido.

Uma das pastas contém informações do Mosaic, serviço da Serasa Experian que classifica empresas em diferentes segmentos como “grandes, tradicionais e influentes”, “pequenos comerciantes do interior” e “jovens empreendedores em ascensão”. A ideia é ajudar na prospecção de clientes e no direcionamento de anúncios.

Outra pasta está relacionada ao score de crédito, com a nota e o nível de risco (baixíssimo, baixo, médio, alto e altíssimo). No vazamento, há também uma lista de dívidas com seus respectivos valores.

Um dos vazamentos inclui CNPJ, nome fantasia, razão social e data de fundação (Imagem: Reprodução)
Um dos vazamentos inclui CNPJ, nome fantasia, razão social e data de fundação (Imagem: Reprodução)

Em comunicado ao Tecnoblog, a Serasa Experian confirmou que está ciente de “alegações de terceiros sobre dados disponibilizados na dark web”. Ela afirma ter realizado uma investigação, mas “neste momento não vemos nada que indique que a Serasa seja a fonte”.

Em novo posicionamento, ela diz:

Com base em nossa análise até o momento, concluímos que a Serasa não é a fonte desses dados. Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Serasa Score é carregado, nem com o Mosaic. Além disso, os dados que analisamos incluem elementos que nem mesmo temos em nosso sistema, e os dados que afirmam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.

O que tem no vazamento de CNPJs?

Vazamento de CNPJs (Imagem: Reprodução)
Vazamento de CNPJs (Imagem: Reprodução)

Este vazamento mais completo não é de graça: ele custa de US$ 0,05 a US$ 50 por CNPJ, dependendo de quantos dados forem comprados. O pagamento é realizado somente via bitcoin, com liberação em minutos ou horas.

A seguir, reunimos as 17 categorias de informações presentes no arquivo à venda; o Tecnoblog descobriu estes detalhes com a ajuda do DataBreaches.net.

  • básico: CNPJ, razão social, nome fantasia, inscrição (matriz / filial, situação), data de fundação, número de funcionários, porte, natureza jurídica
  • e-mail
  • telefone: DDD, número, operadora, plano, tipo de linha (fixa, pré-paga, pós-paga), data de instalação
  • endereço: logradouro, número, bairro, cidade, estado, CEP, tipo (residencial / comercial), latitude e longitude
  • empresarial: nome e CPF dos sócios da empresa, participação (ações e %), data de entrada na sociedade
  • natureza jurídica (sociedade anônima, empresário individual, cooperativa, órgão público etc.)
  • representante legal: CPF e nome do representante, situação cadastral (ativa / baixada / inapta)
  • classe de operação: horário de operação (24h, comercial 9h às 18h, almoço, noite etc.), tipo de distribuição (varejo físico, varejo online, atacado físico)
  • valor do capital social
  • Simples Nacional e SIMEI: situação (optante / não optante)
  • Receita Federal: data de fundação, situação cadastral (ativa / baixada / inapta)
  • Sintegra: número da inscrição estadual, data de início da atividade, situação cadastral
  • CNAE
  • Mosaic: grupo e subgrupo de segmentação
  • score de crédito: score de risco, nível de risco (baixo / médio / alto)
  • cheques sem fundos: código e agência do banco, motivo (sem fundos / conta encerrada)
  • devedores: tipo (principal, corresponsável), unidade responsável, inscrição, tipo de crédito (multa, IRPJ, COFINS, CSLL etc.), valor

Atualizado em 25/01 com novo posicionamento da Serasa

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.