Saiba se seu CPF e mais dados pessoais estão no vazamento de 220 milhões
Site Fui Vazado mostra se você foi afetado pelo vazamento de 223 milhões de CPFs; outra ferramenta informa sobre CNPJs expostos
Site Fui Vazado mostra se você foi afetado pelo vazamento de 223 milhões de CPFs; outra ferramenta informa sobre CNPJs expostos
Várias dúvidas surgiram após o vazamento de 223 milhões de CPFs, entre elas: como saber se meu documento foi vazado? O desenvolvedor Allan Fernando resolveu ajudar criando o site Fui Vazado, que permite conferir se seus dados pessoais – como nome completo, score de crédito, salário e foto de rosto – foram expostos. Há outra ferramenta que permite consultar se sua empresa está entre os 40 milhões de CNPJs que também foram afetados.
No site Fui Vazado, você insere seu CPF e data de nascimento, e verifica se seus dados fazem parte do vazamento. Devido à alta demanda, talvez você se depare com o erro 524 de timeout.
Allan garante que não guarda o CPF e a data de nascimento inseridos pelos usuários para fazer a consulta: “eu não fiz nenhum sistema de log, e os únicos dados que tenho sobre os acessos são os que são gerados pela CloudFlare”, informa o desenvolvedor ao Tecnoblog.
A ferramenta não revela os dados em si que foram expostos no vazamento, apenas as categorias em que você foi afetado: por exemplo, seu telefone e endereço podem ter vazado, mas não a foto de rosto e informações sobre dívidas.
“Esse site tem a exclusiva finalidade de servir de consultar para que todos afetados pelo vazamento saibam se seus dados foram vazados e quais foram”, explica Allan na página do projeto. “Os únicos dados armazenados são CPF, nome completo, data de nascimento, sexo/gênero e uma lista de 37 itens.”
Vale lembrar que existem dois vazamentos distintos, ambos envolvendo 223 milhões de CPFs. O primeiro deles inclui apenas o CPF, nome, data de nascimento e gênero; ele estava sendo oferecido de graça na internet.
Por sua vez, o segundo vazamento – cujos detalhes foram divulgados com exclusividade pelo Tecnoblog – é bem mais completo e está à venda. Ele traz dados sobre e-mail, telefone, endereço, ocupação, score de crédito, situação cadastral na Receita Federal, fotos de rosto, entre outros; são 37 categorias no total. O arquivo inclui a lista dos 223 milhões de CPFs afetados, mais uma prévia gratuita dos dados, e isso está circulando na internet.
Allan usou os dados do vazamento menor, mais a prévia gratuita do vazamento maior, para criar o site Fui Vazado. É uma iniciativa semelhante ao Have I Been Pwned, que notifica sobre senhas expostas.
Felipe Daragon, fundador da empresa de segurança Syhunt, criou uma forma de verificar se o CNPJ de uma empresa está entre os 40 milhões que vazaram. Aqui também há dois casos distintos, mas conectados: o primeiro vazamento traz o nome fantasia e data de fundação; o segundo inclui dados sobre dívidas, score de crédito e mais.
A consulta pode ser feita através do site BLB20 LeakCheck; Daragon apelidou o vazamento de BLB20 (Big Leak do Brasil 2020). Nele, é necessário inserir o número do CNPJ e algumas informações adicionais para garantir que quem está fazendo a checagem é a empresa correspondente. “Apenas o responsável pelo CNPJ pode solicitar um relatório”, avisa a página.
Daragon diz ao Tecnoblog que processou cerca de 50 GB de dados e mapeou exatamente o que vazou por CNPJ, conseguindo gerar um relatório em segundos. Ele também analisou os dados de CPF, mas preferiu seguir somente com a checagem de CNPJ com validação.
O site Fui Vazado pode criar algum problema jurídico? Provavelmente não, porque ele oferece uma consulta gratuita aos dados sem revelá-los, conforme explicam ao Tecnoblog os advogados Adriano Mendes e Luiz Augusto D’Urso, ambos especialistas em direito digital.
“Se ele justificar esse site como um todo baseado em um legítimo interesse da LGPD, ele consegue fazer isso com um acesso a dados pessoais de pessoas físicas”, explica Mendes. Não seria permitido guardar quem solicitou a consulta aos dados, e eles não poderiam ser utilizados para outro fim.
“Mas isso por si só não é uma infração à LGPD, porque ele vai estar baseado numa estrutura de legítimo interesse – é o nome da base legal”, afirma o advogado. Isso vale tanto para pessoa física (CPF) quanto para pessoa jurídica (CNPJ).
A restrição seria caso ele queira “vender algum serviço pago ou tiver alguma finalidade econômica sobre esse banco de dados”, diz Mendes, porque dependeria de uma prévia autorização ou contrato.
Luiz Augusto D’Urso acredita que um serviço como o Fui Vazado está dentro da legalidade, por se tratar de uma ferramenta de pesquisa que acessa um banco de dados que já foi vazado, só dando o resultado para o usuário que consultar se o dado dele está no meio.
“Ele não está vendendo nenhum serviço relacionado a CPF, está distribuindo gratuitamente uma pesquisa na internet nos bancos de dados vazados… ele só faz a análise da informação e entrega para a pessoa, se teve dado vazado ou não”, explica D’Urso ao Tecnoblog. “Não vejo processo nenhum contra ele.”