Há cerca de um ano, os brasileiros descobriam que um vazamento enorme estava à venda: ele incluía 223 milhões de CPFs - até mesmo de falecidos - e informações pessoais como renda, grau de escolaridade, endereço e lista de parentes. Essa base de dados continua à venda na deep web , e pode ter rendido até US$ 5 milhões para o hacker que a comercializou originalmente, de acordo com uma análise exclusiva compartilhada com o Tecnoblog.
O que tem no megavazamento
Em janeiro de 2021, o Tecnoblog revelou com exclusividade os detalhes sobre o megavazamento de 223 milhões de CPFs. Ele trazia 37 pastas incluindo todo tipo de dado pessoal, como RG, score de crédito, telefone, registro no INSS, entre outros.
O hacker fez o anúncio em um fórum, compartilhando uma amostra dos dados para confirmar que se tratava de algo real; ele cobrava preços que variavam de US$ 0,075 a US$ 1 por CPF, dependendo do volume adquirido. Os pagamentos eram feitos em bitcoin.
Dois meses depois, o hacker baixou os preços: ele dividiu o vazamento em 40 partes iguais vendidas a US$ 750, e a primeira delas era oferecida sem pagamento prévio. Quem quisesse todo o conteúdo acabaria pagando US$ 30 mil.
Até US$ 5 milhões
A empresa de cibersegurança Kzarka afirma ter rastreado as diversas carteiras de criptomoeda usadas pelo hacker que vendeu o megavazamento de CPFs. O foco da companhia está em descobrir violações de segurança: entre 2017 e 2020, ela monitorou mais de 200 vazamentos diferentes que, somados, chegam a 15,2 bilhões de resultados.
Gwin* é especialista em análise forense de criptomoedas na Kzarka. Em entrevista ao Tecnoblog, ele explica que a empresa vem acompanhando as diversas transações associadas à primeira pessoa que vendeu o vazamento.
"A gente rastreou as criptomoedas relacionados ao vazamento, e tem dados de carteira que são certamente do hacker; é 100% de certeza que elas realmente são da pessoa", afirma Gwin. Ele garante que mais de US$ 250 mil foram movimentados pelo invasor.
O valor salta para US$ 4 milhões a US$ 5 milhões ao se considerar carteiras com alta probabilidade de pertencerem ao hacker, isto é, com uma chance superior a 70%.
E esse valor pode aumentar: algumas carteiras que tinham 40% ou 50% de certeza de serem do hacker saltaram para 100% de certeza, explica Gwin. "Ele usou de novo o endereço, pegou duas carteiras distintas e assinou a mesma transação, então sabemos com certeza que é do hacker, e assim descobrimos mais fundos".
OK, mas a polícia está sabendo disso? Bem, a Kzarka montou um cerco nas carteiras do hacker, analisando as movimentações de dinheiro, e mandou tudo para as autoridades. "A gente enviou relatórios para a Polícia Civil a respeito da investigação de criptomoeda que veio do vazamento", afirma Gwin. No entanto, ele diz que ninguém deu retorno.
"A gente participa bastante de investigações além dessa", explica Gwin. "Quando uma investigação vai para a Polícia Federal, eles pegam todos os documentos recebidos pela Polícia Civil".
Leia Também
Hackers esperam para gastar
A análise de cada carteira precisa ser feita de forma contínua: dependendo de como é movimentada, ela pode acabar revelando seu dono. "Conforme o tempo for passando e os donos das carteiras forem gastando ou movendo o dinheiro — que agora não é mais só bitcoin, agora tem outros tipos de moeda — vai ficando mais claro se essas carteiras têm apenas relação com esse hacker, ou se elas de fato são desse hacker", diz Gwin.
Essa análise contínua também é necessária porque, para correr menos riscos, o hacker geralmente evita mexer muito no dinheiro obtido de forma ilegal. "Normalmente, ele tem medo de cometer erro", explica Gwin. "Ele sabe que é bom no que faz, mas tem medo de talvez ter uma pessoa melhor ali, que ele não saiba que exista... por isso, o criminoso deixa as criptomoedas nas carteiras durante bastante tempo".
Em termos de segurança digital, isso pode ser entendido como diminuir a superfície de ataque, afirma Gwin. Realizando menos ações, você tem menos situações para se preocupar, assim você acaba tendo mais segurança - ainda que seja apenas uma segurança percebida.
"É uma coisa muito complexa, né? Tem muitas peças móveis, então você pensa: quanto menos eu mexer, menor o meu risco", observa Gwin. O especialista ainda faz uma ressalva: o dinheiro foi espalhado por diferentes criptomoedas, incluindo algumas que a Kzarka não rastreia.
Bitcoin é rastreável
Esse tipo de análise é possível porque as transações em bitcoin são públicas. Elas são registradas no blockchain, incluindo o valor, data, hora e carteira; e podem ser acessadas por qualquer pessoa. O mesmo vale para moedas como o ether.
O blockchain não revela a identidade de quem faz cada transação, mas se você sabe a quem pertence determinada carteira de bitcoin, é possível acompanhar o dinheiro. Claro, o rastreamento não é tão simples porque o hacker tem seus truques para tentar se esconder - usando lavagem de dinheiro, por exemplo.
Por isso, nem sempre é possível determinar que uma carteira pertence a determinada pessoa; mas, graças a avançados sistemas de monitoramento, dá para calcular a probabilidade. Esses sistemas realizam algo chamado clustering, vasculhando as transações de determinadas carteiras para saber o destino do dinheiro - e descobrir de onde ele pode ter vindo.
Megavazamento é vendido por outras pessoas
Até o momento, falamos apenas sobre a venda do megavazamento original. No entanto, a base agora está na mão de mais pessoas, que reorganizaram as informações para revendê-las. Gwin menciona ter visto quatro adaptações desses dados; em alguns casos, o objetivo é deixar tudo mais legível para máquina, isto é, para análises feitas via programa de computador.
"Mas certamente existem mais do que quatro versões agora, então em 2023, 2024, 2025, a gente vai continuar vendo essas informações sendo vendidas, cada vez por valores menores", afirma.
O preço do vazamento vai diminuindo porque acompanha as forças de mercado: a oferta aumenta, à medida que os dados se espalham pela internet; e a demanda diminui porque as informações têm uma data de validade. "Por exemplo, dado de renda é importante, mas você pode não ficar dez anos no mesmo emprego", explica Gwin; assim, esse dado perde valor à medida que o tempo passa.
Enquanto isso, outras informações podem ser usadas por mais tempo; é o caso do CPF, que não pode ser alterado. "No crime de falsidade ideológica na internet, alguém pode usar seu nome ou CPF pra abrir conta em um banco. O criminoso não tem tantas opções assim, ele basicamente vai no banco de dados e escolhe um CPF aleatório, de uma pessoa aleatória, e usa", explica Gwin.
Devido a essa diversidade dos dados no vazamento, o especialista da Kzarka acredita que essas informações continuarão a ser vendidas por bastante tempo, cerca de três anos. "E crimes de tipos distintos ainda acontecerão em função desse vazamento", alerta.
*O especialista se identifica apenas como Gwin porque "o trabalho exige esconder o nome devido a possíveis represálias de criminosos". Ele explica que usava esse nickname para acessar jogos online e, depois, manteve o apelido para explorar a deep web.