O hacker Marcos Roberto Correia da Silva, preso pela Polícia Federal na manhã desta sexta-feira (19) acusado de envolvimento no megavazamento de dados de mais de 220 milhões de pessoas em janeiro deste ano, afirmou que os dados não vieram dos sistemas do Serasa , como se suspeitava anteriormente.
De acordo com a Folha de São Paulo o hacker, conhecido pelo apelido VandaThegod, disse em um de seus perfis em uma rede social que “não foi o Serasa que foi hackeado, não, foi outra empresa privada que está ligada ao governo. Eu tenho e não vou passar, tem que negociar btc [bitcoins], propostas”. Marcos vinha fazendo anúncios informais vendendo o acesso aos dados em sua própria conta no Twitter .
A Polícia Federal não esclareceu se Marcos foi preso por hackear a empresa que seria a fonte dos dados, ou se por obter acesso e revender os dados vazados. Ele também é investigado por participação no ataque ao Tribunal Superior Eleitoral ( TSE ) durante o primeiro turno das eleições 2020, e pela Polícia Civil de São Paulo em outro caso.
Relembre o caso do megavazamento
O megavazamento foi identificado pelo dfndr lab, laboratório de pesquisa de segurança da PSafe, em 19 de janeiro deste ano. O banco de dados expôs informações pessoais de 220 milhões de pessoas — praticamente toda a população do Brasil, incluindo autoridades como o Presidente da República, Jair Bolsonaro , e ministros do STF.
Segundo Emilio Simoni, diretor do dfndr lab, dados deste tipo podem ser obtidos por cibercriminosos em golpes de phishing – no qual um hacker convence sua vítima a divulgar suas informações em alguma página falsa, por exemplo.
“Uma vez que o cibercriminoso tenha o CPF e outros dados reais da pessoa”, diz Simoni, “seria fácil se passar por um serviço legítimo e utilizar engenharia social para obter dados mais críticos da vítima, que poderiam ser utilizados para pedir empréstimos, senha de banco e contratações de serviços”.
A suspeita de que o Serasa seria a origem dos dados surgiu porque o banco de dados continha informações como o score de crédito das vítimas, além de dados de um sistema interno da empresa conhecido como Mosaic .
A empresa, entretanto, negou a conexão: “Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic”, afirma.
“Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos”, complementa.