O megavazamento de 223 milhões de CPFs que ocorreu em 2021 ainda surte seus efeitos. O hacker divulgou uma "amostra grátis" para estimular a venda da base de dados: nesse arquivo, há informações de milhões de brasileiros, como endereço, telefone, score de crédito e salário. De acordo com um levantamento divulgado de forma exclusiva pelo Tecnoblog, isso afeta cerca de 2,5 mil políticos em atividade, incluindo prefeitos, deputados, senadores e um governador.
Que amostra de vazamento é essa?
Para recapitular: em janeiro de 2021, o Tecnoblog revelou com exclusividade os detalhes sobre o vazamento de 223 milhões de CPFs. O arquivo estava à venda em um fórum de hackers, custando até US$ 1 por CPF, dependendo da quantidade adquirida.
Eram 37 bases com todo tipo de dado pessoal, envolvendo RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, poder aquisitivo, status na Receita Federal, entre outros.
Em fevereiro de 2021, o Supremo Tribunal Federal (STF) exigiu a retirada do post no fórum sobre a venda do megavazamento. No entanto, isso não impediu que o arquivo circulasse na deep web e em mensagens privadas.
Em março, o mesmo hacker que comercializava os dados pessoais baixou o preço do arquivo: ele foi "fatiado" em 40 lotes disponíveis por US$ 750 cada. Cada um desses lotes inclui informações sobre exatamente 5.593.481 CPFs e 1.004.596 CNPJs.
E para fechar negócio, o hacker oferecia uma amostra grátis: o arquivo "Group 01" tem informações sobre os primeiros 5,6 milhões de CPFs vazados, em ordem crescente. É nessa amostra grátis que estão os dados dos políticos.
Os políticos afetados - e o perigo de dados vazados
O Tribunal Superior Eleitoral (TSE) exige que candidatos à eleição informem o CPF, data de nascimento, título de eleitor, grau de escolaridade, bens em seu nome, entre outros.
No entanto, o vazamento cria um risco adicional para essas pessoas públicas, porque traz informações que não são de conhecimento público: isso inclui endereço residencial, telefone pessoal, CPF dos parentes, score de crédito e dados de aposentadoria do INSS.
Com base no cruzamento com dados do TSE, descobriu-se que a amostra do megavazamento afeta 2.578 políticos eleitos em 2018 e 2020, incluindo:
- 169 prefeitos
- 185 vice-prefeitos
- 2.169 vereadores
- 29 deputados estaduais
- 20 deputados federais
- 4 senadores
- 1 vice-governador
- 1 governador
O Tecnoblog pode confirmar que, entre esses políticos, estão um ex-ministro, além do presidente de uma estatal na mira do plano de privatização do governo.
Podemos confirmar, também, que os atuais ministros do STF (Supremo Tribunal Federal) não constam na "amostra grátis" do hacker; nem o atual presidente Jair Bolsonaro. Foi realizada uma busca pelo nome dos seguintes ex-presidentes, mas ela não trouxe nenhum resultado: Fernando Henrique Cardoso, Luiz Inácio Lula da Silva, Dilma Rousseff e Michel Temer. Não foi feita uma consulta com o nome de outros ex-presidentes.
Dados continuarão sendo vendidos por anos
Não divulgaremos o nome dos políticos afetados pelo vazamento, nem os locais específicos onde atuam, em conformidade com a LGPD (Lei Geral de Proteção de Dados Pessoais). A lei estabelece que dados pessoais podem ser usados para análises, desde que estejam anonimizados "sempre que possível". Além disso, o tratamento dessas informações deve levar em conta "a finalidade, a boa-fé e o interesse público".
É crucial que os políticos e o público em geral entendam que o megavazamento de CPFs ainda existe e continuará circulando nos próximos anos. Gwin, especialista em segurança digital da empresa Kzarka, afirma em entrevista ao Tecnoblog que "em 2023, 2024, 2025, a gente vai continuar vendo essas informações sendo vendidas, cada vez por valores menores".
O preço diminui porque muitos desses dados vão ficando mais desatualizados e menos interessantes - caso da renda, por exemplo, já que as pessoas mudam de emprego. No entanto, segundo o especialista, outras informações seguem relevantes para uso em crimes cibernéticos, tal como o próprio CPF. Vale notar que Gwin não esteve envolvido na análise da amostra do megavazamento.
Quais tipos de dados foram expostos?
Listamos abaixo as 37 bases de dados presentes no megavazamento de CPFs, que teria sido compilado em agosto de 2019. Nem toda categoria traz informações sobre um determinado CPF: por exemplo, se a pessoa não fez faculdade, ela não estará na pasta "universitários"; se nunca usou cheque, não constará na lista "cheques sem fundos"; e assim por diante.
- básico (nome, CPF, gênero, data de nascimento, nome do pai, nome da mãe)
- estado civil
- vínculo familiar
- telefone
- endereço
- domicílios
- escolaridade
- universitários (nome da faculdade, curso, ano de entrada e ano de conclusão)
- ocupação
- emprego
- salário
- renda
- classe social
- poder aquisitivo
- Bolsa Família
- título de eleitor
- RG
- FGTS
- CNS (Cartão Nacional de Saúde)
- NIS (Número de Identificação Social)
- PIS/PASEP
- INSS
- IRPF (imposto de renda)
- Receita Federal
- score de crédito
- devedores
- cheques sem fundos
- Mosaic
- afinidade
- modelo analítico (prevê chance de consumidor ter afinidade para comprar um produto ou serviço)
- fotos de rostos
- LinkedIn (número ID e URL de acesso do perfil)
- empresarial (nome do sócio, participação, razão social etc.)
- servidores públicos
- conselhos (pessoas que prestam consultoria no âmbito público ou privado)
- óbitos