O megavazamento de dados descoberto em janeiro expôs informações pessoais de mais de 220 milhões de brasileiros. O problema abre espaço para fraudes financeiras e criação de contas falsas no comércio durante muito tempo.
O laboratório de cibersegurança dfndr lab encontrou a falha no dia 19 daquele mês. O volume de pessoas afetadas supera a população atual do Brasil porque a base inclui CPFs inativos e pessoas falecidas.
A Psafe informou que ainda busca a origem do material e o período exato das informações. Os pesquisadores continuam a investigação para descobrir quem copiou e divulgou os arquivos.
O que vazou na internet
O pacote que circula na rede expõe detalhes muito específicos. A lista de informações comprometidas abrange três grupos principais
- Pessoas – número do CPF, data de nascimento e nome completo.
- Veículos – chassi, placa, cidade, cor, marca, modelo, ano, cilindradas e combustível de 104 milhões de automóveis.
- Empresas – CNPJ, razão social, nome fantasia e data de fundação de 40 milhões de negócios.
O presidente da Incognia, André Ferraz, alerta que o foco dos criminosos é o dinheiro dos consumidores.
“Uma vez que a informação está exposta, não tem mais jeito, não tem como desfazer. Isso significa que mesmo que os dados tenham vazado agora, eles podem ficar expostos por anos na internet. Alguns efeitos podem aparecer agora, outros só daqui cinco anos ou até depois”
O vice-presidente da Opentex na América Latina, Roberto Regente Junior, reforça que os usuários afetados ficam sem muitas opções de defesa.
“Trocar de senha ajuda, mas não resolve tudo. Não há muito o que fazer depois que os dados estão expostos”
A recomendação principal é manter a desconfiança em alta durante ligações ou contatos que parecem oficiais. O aviso serve para abordagens onde o atendente sabe dados da família.
“Mesmo ao receber uma ligação em nome de uma empresa, em que o atendente te trate pelo nome e te passe informações pessoais como CPF ou o nome dos pais, será necessário tomar cuidado”
Direitos e proteção legal
Os consumidores ganham o direito de buscar a Justiça se sofrerem prejuízos com o uso indevido de seus nomes. O sócio do Galdino & Coelho Advogados, Pablo Cerdeira, explica que a punição recai sobre quem guardava a base original.
“Tudo, claro, depende da comprovação de quem era o detentor desses dados. Mas uma vez que seja possível comprovar a origem do problema, os consumidores podem recorrer ao Judiciário. A empresa acusada pode receber multas e até ser suspensa de tratar dados”
A Lei Geral de Proteção de Dados (LGPD) passa a aplicar castigos pesados a partir de agosto. As empresas que deixam informações vazar correm o risco de pagar multas de até R$ 50 milhões.
As companhias precisam investir em segurança e dividir seus bancos de dados por regiões para diminuir o tamanho dos danos. A estratégia envolve separar informações de pessoas do Rio de Janeiro, São Paulo e Belo Horizonte em locais diferentes.
“Mesmo que não seja possível evitar um vazamento de dados, pelo menos os danos seriam menores”
Outra medida importante é retirar da internet os dados antigos que os clientes não usam mais.
“O dado não tem data de validade ou de expiração, mas chega um momento em que não precisam mais ficar online ou que têm menor uso. As companhias poderiam, então, separar essas informações para ambientes mais controlados. É preciso ter em mente que essa é uma guerra contínua”
