Ainda sob o impacto da aplicação da LGPD em discussão nas mídias digitai, fóruns de discussão e redes sociais, os veículos de imprensa divulgaram a notícia de um vazamento enorme que expôs o CPF de mais de 223 milhões de brasileiros. Os sites especializados descobriram que o caso é mais grave: há um conjunto de dados pessoais, que é oferecido gratuitamente em um fórum de internet, e está associado a uma base ainda maior que inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, renda e muito mais.
Dois vazamentos de dados
Temos aqui dois casos distintos, mas relacionados. O primeiro vazamento inclui somente nome completo, CPF, data de nascimento e gênero: ele está disponível para download gratuito em um fórum bastante conhecido por divulgar esse tipo de informação.
O arquivo de 14 GB possui dados de 223,74 milhões de CPFs distintos, e aparentemente foi compilado em agosto de 2019. Ele está disponível na internet aberta, não na dark web: o link até foi indexado pela busca do Google. O número de pessoas afetadas é maior do que a população brasileira porque a base de dados também inclui falecidos.
Por sua vez, o segundo vazamento traz informações dos mesmos 223,74 milhões de pessoas e também teria sido compilado em agosto de 2019. Ele foi divulgado pelo mesmo usuário no fórum, e inclui os CPFs na mesma ordem, como ilustra a imagem abaixo:
Neste caso, só a prévia está disponível de graça: quem quiser o pacote completo tem que gastar dinheiro. Os preços variam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade comprada. O pagamento é feito somente em bitcoin.
No total, são 37 bases que incluem todo tipo de dado pessoal, incluindo RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre muitos outros.
Qual a origem de todos esses dados ? Até que ponto os dados pessoais estão protegidos ou não? A quais riscos estão expostos os cidadãos cujos dados estão nesses arquivos?
Como construir um mundo seguro para todos se a realidade aponta que todas as informações um dia estarão na rede mundial de computadores e não há sistema de segurança de informações que seja intransponível?
E a LGPD?
A LGPD (Lei Geral de Proteção de Dados Pessoais), que está valendo desde setembro de 2020, prevê sanções que vão desde uma advertência até uma multa de 2% sobre o faturamento anual até o máximo de R$ 50 milhões.
No entanto, as punições só devem ser aplicadas a partir de agosto de 2021. Isso ficará a cargo da ANPD (Autoridade Nacional de Proteção de Dados), que ainda está definindo seus principais cargos técnicos.
SINTECTO
Fonte: Tecnoblog.net
