O megavazamento de CPFs, cujos detalhes foram divulgados no início de 2021, ainda está disponível para venda na internet. De acordo com informações obtidas pelo Tecnoblog, um hacker divulgou um extrato contendo dados pessoais de quase 5,6 milhões de brasileiros, incluindo informações como lista de parentes, endereço, poder aquisitivo e score de crédito, com o intuito de atrair mais clientes. Confira abaixo como verificar se você foi afetado.
De onde vieram esses 5,6 milhões de CPFs?
Este número é um extrato do megavazamento de 223 milhões de CPFs, um volume tão vasto de informações que inclui até registros de indivíduos falecidos. Em janeiro de 2021, esses dados estavam sendo comercializados em um fórum de hackers, com preços que variavam de US$ 0,075 a US$ 1 por CPF; quanto maior a quantidade adquirida, menor era o custo por unidade.
A tendência é que o valor de um vazamento diminua ao longo do tempo, à medida que as informações são distribuídas e revendidas por mais pessoas.
Em março de 2021, o hacker adotou uma abordagem diferente: segmentou o arquivo em 40 partes, cada uma contendo 5.593.481 CPFs. O preço estipulado era de “apenas” US$ 750 por lote, e o primeiro trecho podia ser baixado sem necessidade de pagamento prévio.
É nesse “teste gratuito” do megavazamento que estão incluídos os dados de 5,6 milhões de brasileiros.
Desse total, cerca de 2.500 são políticos eleitos em 2018 e 2020. O arquivo representa um risco significativo para eles, pois revela informações que não são de conhecimento público, como endereços residenciais, números de telefone pessoal, CPFs de parentes e dados de aposentadoria do INSS.
Quais CPFs estão na amostra do megavazamento?
O arquivo divulgado pelo hacker contém os CPFs organizados em ordem crescente, começando por aqueles que iniciam com 000 até os que se iniciam em 006, com algumas exceções.
As pessoas afetadas possuem CPFs nos seguintes formatos:
- 000.xxx.xxx-xx
- 001.xxx.xxx-xx
- 002.xxx.xxx-xx
- 003.xxx.xxx-xx
- 004.xxx.xxx-xx
- 005.xxx.xxx-xx
- 006.0xx.xxx-xx
- 006.1xx.xxx-xx
- 006.2xx.xxx-xx
- 006.3xx.xxx-xx
- 006.4xx.xxx-xx
- 006.5xx.xxx-xx
- 006.6xx.xxx-xx
- 006.7xx.xxx-xx
Atualmente, não existe uma ferramenta disponível para consultar se seus dados estão contidos neste arquivo, e é improvável que surjam novas opções nesse sentido. No ano passado, o STF (Supremo Tribunal Federal) determinou a remoção do site Fui Vazado, que permitia a consulta por CPF e a verificação dos tipos de dados presentes no megavazamento.
Meu CPF está na lista, o que fazer?
Se você foi afetado por essa amostra do megavazamento, é crucial redobrar os cuidados com a segurança. E isso vai além de apenas ter senhas fortes e autenticação em dois fatores. Informações como RG, vínculo familiar, endereço, emprego e poder aquisitivo podem ser utilizadas em golpes de engenharia social.
Um exemplo é o golpe de phishing, em que o criminoso tenta convencê-lo de que está se comunicando com uma entidade confiável, como seu banco ou um parente. Os dados vazados ajudam a selecionar alvos e a coletar mais informações das vítimas.
Outro risco é o spoofing, onde o golpista se faz passar por você, utilizando suas informações pessoais para acessar contas, realizar compras ou roubar sua identidade.
Abaixo, listamos algumas medidas que você pode adotar em caso de vazamento de dados pessoais:
- Monitore suas contas: Verifique regularmente suas contas bancárias e de cartão de crédito para detectar atividades suspeitas.
- Altere suas senhas: Troque senhas de contas importantes, utilizando combinações únicas e seguras.
- Ative alertas: Configure alertas em suas contas para notificações sobre transações ou acessos não reconhecidos.
- Considere serviços de monitoramento de identidade: Pense em utilizar serviços que ofereçam monitoramento de identidade e alertas sobre atividades suspeitas.
- Fique atento a comunicações suspeitas: Desconfie de e-mails ou mensagens que solicitam informações pessoais, especialmente se não forem de fontes confiáveis.
Infelizmente, essas informações circulam desde pelo menos março de 2021 e continuarão nas mãos de criminosos por vários anos. Mantenha-se alerta e cuide da sua segurança.
Vazamento ainda circula na internet
O Tecnoblog constatou que essa amostra gratuita ainda está disponível na internet. Inicialmente, o arquivo foi distribuído por meio de mensagens diretas em um fórum de hackers e armazenado em um link do Mega que já não está mais ativo.
A estratégia parece ter sido a de evitar chamar a atenção das autoridades. O vendedor dos dados orientava os usuários do fórum: “não solicite endereço de e-mail nem outra forma de comunicação; todas as vendas são feitas apenas via mensagem privada”.
A amostra do megavazamento é conhecida como “Group 01” ou “Grupo 01” e era comercializada pelo usuário JustBR, que está sendo procurado pela Polícia Federal.
Dentro do fórum de hackers, dois usuários distintos foram acusados de lucrar com essa amostra gratuita. Em um post de março que anunciava a venda dos dados, um perfil com alta reputação declarou: “dados do JustBR, compilados no Group 01 já lançados por ele”.
Em outra thread de venda, datada de dezembro, o mesmo perfil alertou: “revendendo coisas grátis do JustBR…”. Isso indica que os dados de 5,6 milhões de brasileiros continuam nas mãos de hackers.
Desde março de 2021, JustBR não fez mais postagens no fórum de hackers. No mesmo mês, a Polícia Federal prendeu o hacker Marcos Roberto Correia da Silva, que usava o pseudônimo Vandathegod e também estava implicado na venda do megavazamento.
Os tipos de dados na amostra do megavazamento
Abaixo estão listadas as 37 bases de dados presentes no megavazamento de CPFs. É importante ressaltar que nem toda categoria contém informações sobre um CPF específico. Por exemplo, se uma pessoa não recebe o Bolsa Família, ela não estará na pasta “Bolsa Família”; se nunca utilizou cheque, não aparecerá na lista “cheques sem fundos”, e assim por diante.
- Básico: Nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe.
- Estado civil
- Vínculo familiar
- Telefone
- Endereço
- Domicílios
- Escolaridade
- Universitários: Nome da faculdade, curso, ano de entrada e ano de conclusão.
- Ocupação
- Emprego
- Salário
- Renda
- Classe social
- Poder aquisitivo
- Bolsa Família
- Título de eleitor
- RG
- FGTS
- CNS (Cartão Nacional de Saúde)
- NIS (Número de Identificação Social)
- PIS/PASEP
- INSS
- IRPF (Imposto de Renda)
- Receita Federal
- Score de crédito
- Devedores
- Cheques sem fundos
- Mosaic
- Afinidade
- Modelo analítico: Prevê a chance de um consumidor ter afinidade para comprar um produto ou serviço.
- Fotos de rostos
- LinkedIn: Número ID e URL de acesso do perfil.
- Empresarial: Nome do sócio, participação, razão social etc.
- Servidores públicos
- Conselhos: Pessoas que prestam consultoria no âmbito público ou privado.
- Óbitos
Esses dados, se utilizados de forma maliciosa, podem representar sérios riscos à privacidade e à segurança dos indivíduos afetados.
Perguntas Frequentes
O que é o megavazamento de dados?
O megavazamento de dados refere-se ao roubo e à divulgação de informações pessoais de aproximadamente 5,6 milhões de brasileiros, incluindo CPF, nomes, endereços, e outros dados sensíveis.
Como posso verificar se meu CPF está entre os dados vazados?
Não existe uma ferramenta oficial para verificar se seu CPF faz parte do vazamento. Contudo, você pode monitorar suas contas e ficar atento a atividades suspeitas.
Quais tipos de dados estão incluídos no megavazamento?
O vazamento contém diversas informações, como nome, CPF, estado civil, vínculo familiar, e-mail, telefone, endereço, escolaridade, e dados financeiros, entre outros.
O que devo fazer se descobrir que meu CPF está no vazamento?
Se você for afetado, é essencial aumentar suas medidas de segurança, como alterar senhas, ativar autenticação em duas etapas, e monitorar suas contas para detectar qualquer atividade suspeita.
Posso fazer algo para proteger meus dados pessoais?
Sim! Além de monitorar suas contas e alterar senhas, você pode considerar serviços de monitoramento de identidade e ficar atento a possíveis tentativas de phishing.
O que é phishing?
Phishing é uma técnica de golpe onde os criminosos tentam enganar você para que forneça informações pessoais, fingindo ser uma entidade confiável, como seu banco.
Como os dados vazados podem ser utilizados por criminosos?
Criminosos podem usar os dados vazados para realizar fraudes, como abrir contas em seu nome, realizar compras, ou cometer crimes de identidade.
O que é spoofing?
Spoofing é uma técnica onde um golpista se passa por você, usando suas informações pessoais para acessar contas ou realizar transações fraudulentas.
Conclusão
O megavazamento de dados que afeta 5,6 milhões de brasileiros representa um grave risco à privacidade e à segurança de informações pessoais. Com a divulgação de dados sensíveis, como CPF, endereços e informações financeiras, os indivíduos afetados devem estar cientes das implicações e dos riscos associados ao uso indevido dessas informações.
É crucial que todos adotem medidas proativas para proteger seus dados, monitorando suas contas e sendo cautelosos em relação a tentativas de golpes, como phishing e spoofing. Embora não exista uma ferramenta específica para verificar se seu CPF está no vazamento, o acompanhamento constante e a conscientização sobre práticas de segurança são fundamentais para mitigar riscos.