Junto dos CPFs estão informações detalhadas de cidadãos brasileiros, incluindo foto e imposto de renda.
Os especialistas dizem que é necessário atenção para não virar alvo dos dados já vazados (Pixabay)
Na semana passada, a empresa de cibersegurança PSafe revelou um vazamento de dados gigantesco: são listados mais de 223 milhões de CPFs. Junto deles estão informações detalhadas de cidadãos brasileiros, incluindo foto e imposto de renda. Tudo está à venda em fóruns na internet. Ainda não é possível saber a origem do vazamento, mas há indícios, segundo especialistas, de que as informações pertençam à base de dados da Serasa Experian. Em nota, a empresa diz que investigou o caso e que os dados analisados não indicam que ela seja a fonte. "Os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos", diz. O megavazamento de dados dá motivo para que os brasileiros se preocupem.
As bases vazadas trazem informações detalhadas sobre os cidadãos, que podem ser usados para crimes diversos: de compras com cartão de crédito a até formação de dívidas e venda de patrimônio com o nome das vítimas. Segundo especialistas, o mais perturbador é que pouco pode ser feito para evitar o uso dessas informações – não é nem possível saber quem foi afetado. Marco DeMello, presidente executivo da PSafe, diz que os usuários devem ficar atentos nos próximos dias para quaisquer movimentações financeiras suspeitas, como compras em cartões de crédito e dívidas. "Os criminosos que compram esses dados podem assumir a identidade dessas vítimas e criar dívidas e baixar escrituras em nome delas.
Há vários crimes que podem ser cometidos com dados tão completos." Jéferson Campos Nobre, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS), concorda que há pouco o que fazer até que alguma movimentação suspeita seja feita. Caso algo anormal aconteça, o ideal é formalizar um boletim de ocorrência, citando o vazamento em 19 de janeiro. Para o cidadão, não há como saber se os dados fazem parte do pacote vazado. Não há apps ou serviços que prestam esse tipo de ajuda no momento. Porém, para DeMello, dada a magnitude do vazamento, é difícil que algum brasileiro não tenha sido afetado. "A essa altura, todos os CPFs estão nessa base roubada. Estão lá meus familiares, meus sócios, minha equipe e qualquer coisa que eu pesquise. É assustador", diz. Os especialistas dizem que é necessário atenção para não virar alvo dos dados já vazados. "A gente depende muito da conscientização dos usuários", aponta Nobre.
Ele nota que são úteis clientes de e-mail que automaticamente filtrem mensagens de spam, mas é preciso que o indivíduo fique atento a mensagens de terceiros se passando por empresas no WhatsApp ou em outras redes sociais, onde a maior parte dessas práticas acontecem. "É a ideia de segurança centrada nas pessoas, na qual o usuário participa dos processos de proteção." Nobre cita que o phishing, prática de roubo na internet que usa uma página com formulário falso para coletar informações de um usuário desavisado, pode se tornar mais refinado, detalhado e customizado. Na visão de Bruno Bioni, fundador do Data Privacy Brasil, instituição de pesquisa e ensino sobre privacidade e proteção de dados, esse pode não ser apenas o maior, mas também o mais lesivo vazamento de dados do Brasil.
Em uma análise inicial, é possível dizer que trata-se do maior ou do mais importante vazamento de dados no Brasil? O conjunto de informações é grande e revela muito sobre a população. CPFs, nomes, foto, renda e até scores de crédito estão lá. Isso o torna o incidente de segurança mais crítico e lesivo já visto no Brasil. O que o caso da Equifax (ocorrido nos EUA em 2017) pode nos ensinar? Na época, houve uma movimentação quando ficou comprovado que a origem era de um birô de dados. Colocou-se logo na mesa um plano de contingência. Aqui, precisamos ter uma discussão pública sobre o assunto. O Brasil tem plano de contingência para casos como esse? A Lei Geral de Proteção de Dados (LGPD) prevê isso. Esse seria um caso para testar um plano. É um incidente que tem uma riqueza muito grande nos dados. Ele demanda um plano de contingência e medidas que sejam mais robustas. O que poderia ser aplicado de sanção contra o Serasa, caso seja confirmada a origem dos dados? Seria possível adiantar o prazo de multas da LGPD?
As multas da LGPD não poderiam ser adiantadas – exceto se o Congresso aprovasse um projeto de lei. A Autoridade Nacional de Proteção de Dados (ANPD) hoje não tem dentes para morder. Porém, a LGPD deixa claro que, em algumas situações, você pode ter violações múltiplas de direitos. Isso significa que a Secretaria Nacional do Consumidor (Senacon) e outros órgãos de proteção podem atuar com base no Código de Defesa do Consumidor (CDC). A ANPD consegue fazer alguma coisa neste momento? Em tese, ela já está operando. Esse é teste de fogo para ver se vai funcionar ou não. A ANPD pode atuar de maneira cooperativa com outros órgãos reguladores, verificando quais os melhores caminhos para formatar o plano de contingência. Em um segundo momento, ela pode desdobrar para sanções. Ela não vai poder se valer da LGPD, mas ela pode atuar de maneira cooperativa com a Senacon, que pode utilizar o Código de Defesa do Consumidor para aplicar multas. O CDC foi pensado para franquear proteção coletiva. Esse vazamento é um cenário no qual um interesse difuso e coletivo foi entrincheirado.
Agência Estado/dom total///