Uma base de dados contendo informações de cerca de oito milhões de brasileiros foi posta à venda por um hacker , que cobrou o valor de US$ 320 (R$ 1.730 na conversão direta). Os dados incluem números de telefone, endereços residenciais e de trabalho, além de informações do perfil das vítimas no Facebook , com direito a fotos de perfil, além de outras informações que comprometem a segurança das vítimas.
A empresa de tecnologia HarpiaTech confirmou, por meio de comunicado divulgado à imprensa, que as informações da base de dados são autênticas e têm sua origem em um vazamento global sofrido pelo Facebook entre 2018 e 2019 – que, mundialmente, afetou cerca de 990 milhões de perfis.
“A partir de uma amostra de 50 perfis, comparamos as fotos do Facebook com as fotos do WhatsApp do número de telefone dado e constatamos que eram da mesma pessoa”, afirmou Filipe Soares, sócio da HarpiaTech.
A oferta de venda da base de dados foi feita em um fórum online e, segundo Soares, estipulou o valor de US$ 40 (R$ 216,32) por cada milhão de usuários. O valor deveria ser pago em bitcoins e o hacker , que se comunicava fluentemente em inglês, tinha uma foto de Mark Zuckerberg , CEO e cofundador do Facebook, em seu perfil.
Sediada no Distrito Federal, a HarpiaTech disse que vai encaminhar um relatório técnico completo à Autoridade Nacional de Proteção de Dados ( ANPD ) para avaliação.
Cruzamento de base de dados facilita fraudes
Um dos grandes problemas dessa exposição da base de dados – além de ela própria estar ao alcance de qualquer pessoa – é o possível cruzamento com informações obtidas em vazamentos anteriores, como o megavazamento ocorrido em janeiro de 2021 , que afetou cerca de 220 milhões de brasileiros.
Para Soares, que foi agente da Agência Brasileira de Inteligência (Abin) antes de atuar na HarpiaTech, um hacker que tiver acesso a ambas as bases vazadas consegue cruzar informações e, consequentemente, facilitar a ocorrência de fraudes.
“Se alguém correlacionar as informações de um perfil do Facebook com os dados vazados no megavazamento de janeiro, como CPF e endereço, um criminoso poderia abrir uma conta em um banco digital que pede uma selfie para validar a abertura da conta, por exemplo”, disse Soares.
Outras fraudes possíveis incluem o saque do auxílio emergencial ou FGTS da pessoa, ou então esquemas de phishing e outras invasões cibernéticas.
Por isso, é recomendado o emprego de diversas medidas de segurança para proteção de identidade e bens, como a ativação da autenticação em dois fatores (quando, além do usuário e senha, você também precisa informar um código numérico aleatório enviado por SMS ou aplicativo externo).
Além disso, o usuário pode fazer consultas periódicas à plataformas como o Registrato
(que reúne informações de contas vinculadas ao seu CPF ou se há empréstimos e cartões de crédito retirados em seu nome), além do Have I Been Pwned?, que faz uma busca por e-mails vazados e permite avaliar a extensão do uso de um endereço eletrônico por outras pessoas. Também é recomendável sempre revisar as configurações de privacidade
de perfis em redes sociais, se possível fechando-as para quem não faz parte da lista de contatos.
Finalmente, é importante manter atenção redobrada em abordagens que peçam que o usuário informe dados pessoais – estas, geralmente, vêm como ofertas de promoções “boas demais para serem verdade”.