Em janeiro de 2021, ocorreu o maior vazamento de dados da história do Brasil até então. Cerca de 223 milhões de CPFs de brasileiros foram disponibilizados de graça em um fórum na internet; e um hacker vendia informações relacionadas a essas pessoas, incluindo endereço, telefone, e-mail, score de crédito, salário, renda e muito mais.
Um ano depois, decidimos revisitar esta história e contar quais foram os desdobramentos dessa saga, que envolveu a Polícia Federal e até ministros do Supremo Tribunal Federal (STF). A apuração, feita junto à Autoridade Nacional de Proteção de Dados (ANPD) e especialistas, você confere nas linhas a seguir.
Megavazamento evoluiu de uma fonte
Inicialmente, noticiou-se um vazamento de 223 milhões de CPFs que trazia "apenas" nome completo, data de nascimento e gênero. O arquivo foi compartilhado de graça em um fórum, e pudemos confirmar na época que ele tinha dados válidos.
No mesmo fórum, um hacker colocou à venda uma base com mais informações sobre esses 223 milhões de pessoas: tinha RG, estado civil, lista de parentes, nível de escolaridade, poder aquisitivo, status no INSS, entre vários outros - eram 37 categorias no total.
No entanto, esses dados mais detalhados não eram gratuitos. Os preços variavam entre US$ 0,075 a US$ 1 por CPF, dependendo da quantidade de informações - que eram vendidas exclusivamente através de bitcoin para dificultar o rastreamento das transações.
Em entrevista ao Tecnoblog, Felipe Daragon, especialista em segurança da Syhunt, afirma que os dois vazamentos - o gratuito e o pago - são bases que evoluíram de uma mesma fonte. Segundo suas análises, essas bases se tornaram mais completas com o tempo, com destaque para o gênero vinculado aos mesmos 223 milhões de CPFs, que passou a incluir "intersexo".
Isso foi o prelúdio de um cenário muito mais complexo e grave. Outros vazamentos se tornaram comuns no ano de 2021 - mais uma base de 223 milhões de CPFs foi descoberta em março. Em alguns casos, a exposição dos dados continua até hoje.
STF e OAB pressionaram por investigação
A ANPD foi imediatamente cobrada, mas demorou dias para se pronunciar sobre o ocorrido. A entidade foi criada para garantir que a LGPD (Lei Geral de Proteção de Dados Pessoais) está sendo cumprida, e para aplicar punições a quem coloca a privacidade dos usuários em risco.
Seu primeiro comunicado após o megavazamento de janeiro dizia que a entidade estava apurando informações sobre o caso e se comprometeu a cooperar com os órgãos de investigação competentes.
Em 28 de janeiro de 2021, um dia após a primeira declaração da ANPD sobre o megavazamento, a OAB (Ordem dos Advogados do Brasil) Nacional cobrou que a entidade faça uma investigação sobre o ocorrido. O órgão pediu uma resposta mais ágil por parte da autoridade em um documento endereçado ao presidente da ANPD, Waldemar Gonçalves Ortunho Júnior.
O STF também fez pressão. No dia 1º de fevereiro, o presidente do Supremo Tribunal Federal, Ministro Luiz Fux, cobrou que o governo investigue o enorme vazamento de dados. Fux considerou a situação como "gravíssima"; ele deu ênfase na necessidade de apurar o comprometimento dos dados dos membros da Corte.
Na época, o Estadão revelou que os dados do presidente Jair Bolsonaro e de todos os membros do Supremo Tribunal Federal estavam à venda na internet após o megavazamento, sendo comercializados por um hacker.
Em fevereiro, a ANPD detalhou um pouco mais o andamento de suas atividades, explicando que "oficiou outros órgãos para investigar e auxiliar na apuração e adoção de medidas de contenção e mitigação de riscos".
PF realizou operação e prendeu suspeito
Não demorou para a Polícia Federal entrar no caso, conduzindo sua própria investigação após um pedido feito pela ANPD. O Supremo Tribunal Federal também pediu a abertura de um inquérito para investigar o vazamento de dados de autoridades, sob determinação do ministro Alexandre de Moraes.
No despacho, Moraes afirmou que a comercialização de dados pessoais e sigilosos de membros do STF "atinge diretamente a intimidade, a privacidade e segurança pessoal de seus integrantes".
No dia 19 de março, a Polícia Federal deflagrou a Operação Deepwater, que investigou o megavazamento. Um hacker de Uberlândia (MG), suspeito de divulgar diversas informações sensíveis ligadas aos milhões de CPFs, foi preso. As autoridades também cumpriram mandados de busca e apreensão em Petrolina (PE).
"Após diversas diligências, a Polícia Federal identificou o suspeito pela prática dos delitos de obtenção, divulgação e comercialização dos dados, bem como um segundo hacker que estaria vendendo os dados por meio de suas redes sociais. Hoje, estão sendo cumpridos cinco mandados de busca e apreensão e um mandado de prisão preventiva nos municípios de Petrolina (PE) e Uberlândia (MG)", disse a PF na ocasião, em comunicado.
O hacker preso se chama Marcos Roberto Correia da Silva e atendia pelo pseudônimo de Vandathegod. Ele também é investigado por participar de um ataque ao sistema do Tribunal Superior Eleitoral (TSE) durante o primeiro turno das Eleições 2020. No entanto, há outro hacker na mira da PF: conhecido por JustBR, ele comercializou os dados em um fórum online.
O Tecnoblog entrou em contato com a Polícia Federal e perguntou sobre o estado das investigações acerca do vazamento de dados. A instituição diz apenas que não há fontes disponíveis para conceder entrevista.
ANPD indica que investigação continua
E a ANPD? Ela conta ao Tecnoblog que recebeu 176 comunicados de incidentes de segurança envolvendo dados pessoais ao longo de 2021. "Todavia, as investigações de incidentes de segurança da ANPD, por força de lei, tramitam protegidas por segredo comercial e industrial", explica o órgão.
Quando não há uma comunicação "espontânea" do controlador de dados sobre o incidente, e é a ANPD que descobre a falha, a entidade instaura o chamado "procedimento preparatório" de fiscalização. Isso significa o envio de uma notificação para apurar se houve violação da LGPD por parte da empresa ou indivíduo. Até agosto de 2021, ela tinha 27 procedimentos preparatórios de fiscalização.
Mas, e em relação ao megavazamento de um ano atrás? De que instituição vazaram os dados que superam inclusive a população do Brasil, com informações de pessoas falecidas?
A ANPD afirma que não comenta fiscalizações em andamento. Isso sugere que há uma investigação em andamento dentro da autoridade, ainda que seu status não seja público.
Especialistas avaliam postura da ANPD
Para Daragon, a ANPD ainda é uma entidade muito jovem, criada somente em 2019, e é muito precipitado tirar conclusões sobre seu trabalho. Ele afirma que ainda há muitos processos de aprendizado.
O diretor do Data Privacy BR, Rafael Zanatta, pontua ao Tecnoblog que a autoridade ainda é muito pequena e faz um trabalho hercúleo na proteção de dados com uma equipe reduzida — o pesquisador contou 46 pessoas em um evento recente da entidade.
Mas um dos problemas da ANPD, aponta o especialista, é que ela possui um cronograma regulatório "muito rígido". O órgão segue esse planejamento de abertura de consultas públicas e resoluções, e é capaz de cumpri-lo, mas ao custo de não lidar com questões como o megavazamento.
Leia Também
"Todas as outras grandes questões que surgiram, como o megavazamento, foram subaproveitadas diante da impossibilidade de a ANPD priorizar esses elementos externos, porque ela tinha criado uma agenda interna muito forte. Isso é um problema: surgiram várias brechas de segurança e questões de proteção de dados gigantes, e a ANPD não conseguiu responder. O megavazamento foi o primeiro", afirma.
Já para Adriano Mendes, advogado especialista em proteção de dados, a ANPD está cumprindo a lei ao não revelar as investigações sobre o vazamento de dados. Mas resta aplicar as sanções previstas na LGPD aos envolvidos.
De acordo com o especialista da Assis e Mendes Sociedade de Advogados, a ANPD será muito temida no mercado assim que começar a pôr em prática punições mais duras por violações de dados.
Mendes afirma ao Tecnoblog, entretanto, que a LGPD foi aprovada de forma prematura, antes de a autoridade sancionar seu regulamento interno. Na época do megavazamento de CPFs, a LGPD já havia sido criada, mas as sanções ainda não haviam entrado em vigor. E somente no final de outubro de 2021, o Conselho Diretor da ANPD aprovou os processos de fiscalização da entidade.
Na visão de Zanatta, o futuro da ANPD depende de um grande processo administrativo contra algum controlador que tenha violado a LGPD. "A ANPD precisa de um grande caso sancionatório. Até para a própria imagem, para a força simbólica da autoridade. Ela não pode deixar de ter um bom caso agora no primeiro semestre, senão ela vai se fragilizar", diz Zanatta.
Segundo o pesquisador, essa possibilidade já é discutida dentro da própria ANPD como uma alternativa.
Serasa era fonte dos dados?
O vazamento foi vendido pelo hacker com o título "Serasa Experian", o que levantou a dúvida: a empresa realmente havia vazado as centenas de milhões de CPFs e a infinidade de informações vinculadas a eles? Logo que o caso veio à tona, a empresa foi notificada pela Senacon (Secretaria Nacional do Consumidor) para que explicasse seu possível envolvimento. O Procon-SP fez o mesmo.
Rafael Zanatta, do Data Privacy BR, conta que a Serasa pode não ter sido a fonte do vazamento. Pelo menos, não a única. Isso porque o incidente mencionava uma base de dados que era comercializada legalmente pela empresa: o Mosaic.
O repositório contém informações detalhadas e divide a população do Brasil em 44 categorias sociológicas, e era comercializado até com o Facebook — a plataforma o usava para aperfeiçoar o direcionamento de anúncios, mas vedou a prática depois do escândalo da Cambridge Analytica.
"Foi construída uma narrativa em cima do acúmulo de várias bases tentando jogar a culpa em cima da Serasa, que no final das contas, nunca falou publicamente que era [fonte do vazamento]", comenta Zanatta.
"Não há elementos suficientes para a demonstração da Serasa como controlador dos dados; poderia ser algum parceiro econômico, ou até a agregação de vários", ele completa.
Em nota enviada ao Tecnoblog, a Serasa diz que uma investigação interna não encontrou nenhuma evidência de que a empresa está relacionada ao megavazamento de dados. Eis o posicionamento na íntegra:
"A Serasa Experian forneceu a todas as autoridades competentes os resultados de sua detalhada investigação sobre as notícias na mídia relativas a dados que foram oferecidos ilegalmente para venda na internet em janeiro de 2021.
Nossa investigação confirmou a nossa conclusão inicial de que não há nenhuma evidência de que a Serasa sofreu o vazamento massivo de dados. Além disso, não há nenhuma evidência de que nossos sistemas tenham sido comprometidos. Esses resultados foram também corroborados por respeitado instituto de perícias após extenso trabalho de análise e revisão, cujo parecer técnico foi entregue às autoridades competentes.
Proteger a segurança dos dados é nossa prioridade número um, e continuaremos apoiando as autoridades nas respectivas investigações".
Megavazamento original ainda é vendido
Os dados de centenas de milhões de brasileiros vazados no início de 2021 ainda estão sendo vendidos na web aberta e na deep web. Segundo Daragon, uma vez que essas informações são divulgadas na internet, não há mais volta, elas estarão lá para sempre em alguma base.
O especialista afirma ao Tecnoblog que o maior problema em toda essa história é que os megavazamentos proporcionaram o crescimento do mercado de informações. Cibercriminosos estão dispostos a pagar, mesmo que seja caro, para adquirir dados sensíveis e pessoais. Assim, eles podem identificar melhor suas vítimas e aplicar golpes cada vez mais sofisticados.
O ransomware é um problema ainda maior. Com informações privadas de empresas, grupos criminosos conseguem invadir sistemas com maior facilidade. As possibilidades são infinitas quando se tem a vida de uma pessoa ou a história de uma companhia diretamente na tela do computador.
Para Zanatta, diretor do Data Privacy BR, a próxima onda de vazamentos de informações sensíveis terá a intenção de afetar o debate político no Brasil. Serão ofensivas parecidas a que foi feito ao Ministério da Saúde em dezembro. O ataque afetou a base de dados usada para registrar carteirinhas de vacinação.
"Esses ataques de natureza de segurança da informação vão tentar pautar o debate público, ao inviabilizar o uso de certos sistemas em cenários críticos, como o feito ao DataSUS no momento em que crianças estão se vacinando", diz Zanatta.
O pesquisador também afirma que é provável a ocorrência de mais vazamentos voltados para a chantagem e o public shaming — quando há a exposição de informações sensíveis para prejudicar a reputação de um alvo.
E como se um vazamento não bastasse...
Depois do megavazamento de dados revelado em janeiro, outra base com informações de brasileiros começou a ser vendida pela internet em março de 2021. O material foi disponibilizado em fóruns com dados de mais de 223 milhões de pessoas, incluindo nome, CPF, e-mail, endereço, celular, sexo e data de nascimento. A base chegou a ser oferecida por 0,3 bitcoin (cerca de R$ 94 mil pela cotação da época).
Na ocasião, o Poupatempo foi acusado de ter sido a fonte do vazamento, já que a base de informações na web usava o mesmo nome, com as informações, CPFs e CNPJs disponíveis. No entanto, essa suspeita já foi desmentida, segundo Felipe Daragon, da Syhunt. As autoridades ainda não sabem o verdadeiro culpado.
As informações desse novo vazamento também são graves. Para atrair compradores, os cibercriminosos ofereceram gratuitamente uma base com 10 milhões de registros.
Sempre há mais para vazar
As informações confidenciais de CPFs e CNPJs vazadas têm uma data de validade. Endereços, telefones, e-mails e muitos outros dados se modificam conforme passam os anos, portanto, mesmo que já tenha vazado tudo, hackers sempre têm motivos para adquirir informações atualizadas.
Na web aberta e na deep web, quanto mais atual o dado, mais caro. Daragon argumenta ao Tecnoblog que sempre há mais o que vazar, mesmo que de maneira duplicada, pois há mercado para isso.
Zanatta diz que o megavazamento pode ser inclusive usado para verificar se as informações pessoais de brasileiros continuam atuais; basta um hacker realizar um ataque, sequestrar os dados e compará-los com a base com CPFs, CNPJs, entre outros centenas de milhões de elementos.
Especialistas concordam que o mercado negro de venda de informações deve ser atacado pelas autoridades, a fim de diminuir a atuação do crime organizado e o desuso de dados pessoais.
O advogado Adriano Mendes finaliza: "Com certeza o melhor dos mundos é prevenir o vazamento. Porque depois que os dados são expostos, há um problema enorme para mitigar o desastre, e talvez o controlador simplesmente não consiga. A LGPD não vai impedir o vazamento de dados, nem vai impedir golpes de phishing e ataques de todo porte. O que a lei pode fazer é evitar o comércio negro de dados, pois as empresas não vão poder comprar mais dados de origem ilícita ou oriundos de uma atividade ilegal".