Megavazamento de janeiro fez meio milhão de celulares corporativos circularem na internet

Após o megavazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, mais de meio milhão de celulares corporativos já circulam livremente na internet - embora os dados estejam à venda, o hacker tornou pública uma pequena parte das informações. A conclusão é da empresa de segurança Syhunt, que analisou com exclusividade para o Estadão alguns dos arquivos disponibilizados pelo hacker na internet.

Um dos arquivos é considerado o ‘catálogo’ do criminoso - nele, estão listadas, mas não reveladas, as informações que estão à venda. A partir disso, foi possível identificar que dos 40 milhões de CNPJs listados, 28 milhões têm à venda números de celulares corporativos de seus funcionários. No total, a Syhunt estima que o hacker tenha em mãos cerca de 200 GB de informações referentes a pessoas jurídicas. É por meio do catálogo também que foi possível identificar que estão à venda de dados de autoridades, como antecipou o Estadão.

Os outros pacotes de dados, um para pessoa física e outro para pessoa jurídica, são uma espécie de 'amostra grátis' daquilo que o hacker tem para oferecer. Para pessoas físicas, são 37 categorias de informações preenchidas, em média, com dados aleatórios de mil pessoas cada. Para pessoas jurídicas, aparecem cerca de mil empresas em cada uma das 17 categorias. O número específico de cada pasta pode variar. Todas as informações das amostras grátis estavam disponíveis para serem baixadas e circularam livremente pela internet desde o começo de janeiro - o caso se tornou público em 19 de janeiro.

Ao analisar na amostra a pasta referente a números telefônicos, foi possível detectar que estavam disponíveis 532.696 celulares corporativos, número muito superior ao de números registrados para pessoa física (6.945). Entre as linhas de pessoa jurídica disponibilizadas, o hacker classificou 366.770 como números da operadora Vivo. Outros 12.123 números estão classificados como números da TIM. O restante não está classificado. Todos os números telefônicos estavam associados aos números de CNPJ das empresas.

“O maior problema de números corporativos se tornarem públicos é que aumentam as tentativas de golpe junto às empresas”, explica Felipe Daragon, fundador da Syhunt. “Podem surgir golpes de engenharia social, no qual os criminosos se passam por uma fonte legítima para extrair informações valiosas”, diz. O Estadão apurou que, desde o vazamento dos números, já há empresas percebendo aumento nas tentativas de ataque junto aos seus números corporativos.

“Os gestores e funcionários precisam ficar atentos a possíveis contatos, inclusive por WhatsApp, em números corporativos. Se o gestor suspeitar que os números tenham sido vazados, é importante trocar os números”, diz Daragon.

A prevalência de números da Vivo no pacote é mais um indício de que o criminoso compilou informações de diferentes vazamentos num grande pacote. Em novembro de 2019, uma falha no site da Vivo expôs informações de 24 milhões de clientes. Não é possível determinar se os números oferecidos atualmente no pacote atual foram obtidos durante esta falha, porém, o hacker informa que o ano mais recente de atualização das informações telefônicas é 2019.

Outro indício de que o hacker compilou informações também foi noticiado pelo Estadão, que mostrou que as fotos de rosto oferecidas no pacote são de candidatos a cargos eletivos nas nas eleições entre 2012 e 2020. Os dados pertencem ao repositório público do TSE.

Inicialmente, o Serasa foi apontado como a origem dos vazamentos — uma das bases se chama Mosaic, um serviço do birô de crédito. Além disso, há documentos em PDF que funcionam como ‘manuais de instruções’ de produtos do Serasa, como o score de crédito.

A empresa tem repetidamente negado que seja a fonte. Em nota, diz: "Estamos cientes de alegações de terceiros sobre os dados disponibilizados na dark web. Conduzimos uma extensa investigação e neste momento nenhum dos dados que analisamos indicam que a Serasa seja a fonte. Muitos dos dados analisados incluem elementos que não temos em nosso sistema e os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos." A tese de que o vazamento tem múltiplas fontes vem crescendo entre especialistas de segurança, que acreditam que esse é o maior vazamento da história do Brasil.

Estados afetados
Os números corporativos que já circulam na internet estão registrados em diversas partes do Brasil. O pacote tem 179.172 números do DDD 11, seguido por números da região de Curitiba, cujo DDD é o 41 (93.194) - o Paraná aparece como o Estado mais afetado. Apenas Estados do Nordeste não aparecem na amostra vazada.

A seguir todos os DDDs que foram afetados com a respectiva quantidade de linhas vazadas.

Paraná

41=93.194

42=8.566

43=86.673

44=779

45=444

46=15.984

Total= 205.640

São Paulo

11=179.172

12=1.512

13=1.250

14=3.049

15=1.854

16=3.082

17=4.290

18=918

19=7.702

Total= 202.829

Minas Gerais

31=14.578

32=1.107

33=390

34=742

35=2.226

37=518

38=240

Total= 19.801

Rio Grande do Sul

51=8.767

53=163

54=2.615

55=6.257

Total=17.802

Rio de Janeiro

21=13.295

22=980

24=446

Total = 14.721

Distrito Federal

61=8.920

Goiás

62=5.405

64=1.108

Total=6.513

Santa Catarina

47=2.179

48=1.416

49=1.539

Total = 5.134

Espírito Santo

27=3.759

28=321

Total = 4.080

Mato Grosso

65=649

66=187

Total=836

Tocantins

63=439

O que dizem as operadoras
Em nota ao Estadão, a Vivo diz: “A Vivo reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade”.

A TIM, também em nota, afirmou: “A empresa informa que não sofreu nenhum ataque ou vazamento que colocasse em vulnerabilidade os dados de clientes e ou dados próprios. Reforçamos ainda que prezamos pela segurança de dados, com as melhores práticas em cibersegurança.”

Novo vazamento de celulares
Na quarta, 10, o site NeoFeed revelou outro vazamento de número de celulares. Segundo o site, a empresa de segurança PSafe detectou que estão à venda mais de 100 milhões de números de celulares, incluindo os do presidente Jair Bolsonaro e do apresentador William Bonner. A empresa diz que notificará a Autoridade Nacional de Proteção de Dados (ANPD) sobre o assunto.

O caso acontece menos de um mês após o megavazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos — o caso também foi revelado pela PSafe. Ao NeoFeed, a PSafe diz que encontrou no segundo vazamento dados que constavam no primeiro. Ainda, porém, é cedo para confirmar a conexão entre os dois incidentes. No primeiro vazamento, o hacker já havia disponibilizado telefones de 159 milhões de pessoas e de 28 milhões de empresas, por isso não é possível saber se o novo vazamento reciclou dados do primeiro.

Porém, o Estadão apurou que o novo vazamento traz campos de informações inexistentes no primeiro, como "volume de minutos gastos por dia", "maior atraso e menor atraso no pagamento", "dívidas", "valor de faturas" e "tempo de duração das ligações". Além disso, as novas bases de dados não estão sendo comercializadas no mesmo fórum do primeiro vazamento.

Órgãos se manifestam
Em 25 de janeiro, a Secretaria Nacional do Consumidor (Senacon) afirmou que instaurou um procedimento de averiguação preliminar para “avaliar a materialidade e autoria” do vazamento. O órgão deu um prazo de 15 dias para o Serasa Experian responder às seguintes perguntas: se a instituição reconhece que os dados vazaram de suas bases ou de operadores parceiros, por quanto tempo os dados ficaram expostos, quem teve acesso aos dados e que dados foram acessados.

Além disso, a Senacon questionou as medidas tomadas pela empresa para melhorar a segurança da privacidade dos titulares dos dados e também pede esclarecimento sobre seu modelo de negócios para entender se algum serviço do Serasa envolve a disponibilização, o fornecimento ou o tratamento de dados.

Em 28 de janeiro, o Procon-SP notificou o Serasa pedindo explicações sobre o caso. Já a Autoridade Nacional de Proteção de Dados (ANPD) se manifestou apenas em 27 de janeiro, oito dias após o caso vir a público. O caminho da ANPD em meio ao caso preocupa especialistas.

Em nota, a ANPD disse que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes e oficiará para apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação”.

O órgão afirma ainda que “sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados, para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”. A TV Globo afirma que a ANPD acionou a Polícia Federal para investigar o caso.

Após a reportagem do Estadão, sobre a venda de dados de autoridades, o ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF) determinou que a frente de investigação aberta para apurar a venda online de dados pessoais de autoridades corra associada ao inquérito das fake news, já em andamento na Corte sob sua relatoria. Ele também mandou derrubar 4 links relacionados ao caso, dois deles do fórum onde os dados foram postados e um outro para o download direto das informações. Isso, porém, não impediu que os dados continuassem à venda.