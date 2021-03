Pexels Informações do megavazamento de dados continuam em circulação na internet e são vendidas a preço mais baixo do que em janeiro

Na manhã desta sexta 19, a Polícia Federal prendeu Marcos Roberto Correia da Silva, conhecido como Vandathegod, suspeito de ser o hacker por trás do megavazamento de janeiro — a prisão ocorre dois meses depois de o caso ter se tornado público. Apesar da ação, a circulação dos dados colocados à venda pelo hacker não deve diminuir. No período, as informações referentes a 223 milhões de CPFs e 40 milhões de CNPJs ficaram mais acessíveis a criminosos e golpistas.

Embora o anúncio original da venda tenha surgido em um fórum de acesso mais simples (pois era indexado pelo Google), os criminosos em posse das informações facilitaram a disseminação dessas informações na deep web, local que permite a alta circulação de criminosos. Lá, os dados surgiram em um anúncio que oferece pacotes maiores de informações por preços reduzidos — a PF ainda não divulgou se o hacker preso, conhecido como Vandathegod, é o autor do anúncio na deep web. Segundo a TV Globo, a PF ainda procura pelo autor da postagem de janeiro.

Em janeiro, o hacker vendia os dados em pacotes pequenos de CPFs: 100, 2 mil e 20 mil unidades. Agora, os dados foram agrupados em 40 pacotões, cada um com dados de cerca de 5,6 milhões de CPFs e 1 milhão de CNPJs. Proporcionalmente, o preço por CPF sofreu redução, pois o criminoso está cobrando 40 mil euros por toda a base ou 1 mil euros por grupo. Antes, a precificação era de US$ 100 por 100 CPFs, US$ 500 por 2 mil CPFs e US$ 2.000 por 20 mil CPFs — no total, o hacker poderia ganhar mais de US$ 20 milhões. A informação na redução de valores foi publicada inicialmente no site Tecnoblog e confirmada posteriormente pelo Estadão.

Além disso, no novo anúncio, o hacker diz que entrega gratuitamente o primeiro dos 40 lotes para aqueles que negociarem diretamente com ele, o que já torna público os dados de mais de 5 milhões de pessoas. Em janeiro, os criminosos haviam postado uma amostra grátis que continha os dados de apenas 40 mil pessoas.

O novo anúncio na deep web também dá indicações de que não apenas o hacker tem as informações que diz ter, como também foram bastante comercializadas no submundo da rede. O fórum indica que ele já efetuou quase 700 vendas em toda a história, marca alta. Além disso, ele apresenta nota alta no sistema de ranqueamento, o que significa que ele costuma entregar o que promete.

“Não é possível colocar a pasta de volta no tubo. Os dados que vazaram e se disseminaram na internet devem continuar sendo explorados ativamente por criminosos, dando origem a novos bancos de dados, incluindo informações atualizadas de novos vazamentos”, diz Felipe Daragon, fundador da empresa de cibersegurança Syhunt. “Cabe agora aos governos, empresas e sociedade compreenderem e se adaptarem a esta nova realidade, dando respostas adequadas”.

“Base do Poupatempo” é antiga

O megavazamento já parece ser um exemplo da evolução de bases de dados vazadas. No começo de março, um novo anúncio foi postado no mesmo fórum do megavazamento de janeiro. Nele, havia a oferta de uma base de dados de 223 milhões de CPFs, que supostamente pertence ao Poupatempo, que negou ter sido alvo de ação criminosa. A indicação de que os dados teriam partido do órgão paulista estava no próprio anúncio do criminoso. O restante do texto vai se referir a essa base como “base do Poupatempo” apenas para fins de clareza.

A pedido do Estadão, a empresa de cibersegurança Syhunt comparou as informações contidas nos dois vazamentos. A conclusão é de que a base do Poupatempo é uma versão antiga — e mais simplificada — da base de janeiro. Isso reforça a tese de especialistas em cibersegurança de que a base de janeiro tem múltiplas fontes e foi construída ao longo do tempo.

A comparação foi feita usando as informações tornadas públicas pelos hackers. No vazamento de janeiro, foi publicada uma base de dados com informações básicas, que inclui 223 milhões de CPFs, com nome, gênero e data de nascimento. Além disso, foi publicada uma amostra da base completa que afetou 40 mil CPFs. Também foi publicado um catálogo sobre os 223 milhões de CPFs. Já no caso do Poupatempo, a amostra da base tinha 10 milhões de CPFs.

A análise da Syhunt identificou que os CPFs estão listados exatamente na mesma sequência, mas existe um detalhe: no caso do Poupatempo, existem números faltando em relação ao vazamento de janeiro, uma indicação que os números faltantes foram acrescentados posteriormente. Além disso, a análise encontrou muitos números duplicados na base do Poupatempo, o que reduz a contagem final.

Outro ponto que chamou a atenção: a base do Poupatempo traz apenas um e-mail por cada CPF, enquanto a base de janeiro tem múltiplos endereços. Porém, todo endereço que aparece na base do Poupatempo é o primeiro endereço indicado na base de janeiro - os outros aparecem na sequência, em linhas inferiores. Os casos em que não há e-mail disponível para o CPF são iguais nas duas bases.

Na análise, a Syhunt também diz que as informações de e-mail, telefone e endereço na base Poupatempo parecem estar desatualizadas.

Há também similaridade entre as duas bases em relação à classificação de gênero. Elas utilizam apenas três opções: “masculino”, “feminino” e “intersexo”. Nas duas bases, a classificação é exatamente a mesma, incluindo a categoria intersexo. Essa classificação é geralmente ligada a nomes onde não é possível identificar claramente se a pessoa é do sexo masculino e feminino - quase sempre, a classificação é usada a nomes pouco comuns. A mesma classificação para todas as pessoas indica que as bases têm a mesma origem.

“Minha tese é de que em algum momento houve o roubo de uma base muito simples, só com nome, CPF e data de nascimento. Ela depois ganhou sexo, telefone e e-mail”, explica Daragon. “Com o tempo ela foi enriquecida com os dados de outras bases até chegarmos na base de janeiro. As bases de janeiro e do ‘Poupatempo’ parecem ter a mesma origem básica. Tudo indica que a base do Poupatempo é uma versão antiga do que apareceu em janeiro”, diz.

O Estadão já havia mostrado outros indícios de que o megavazamento de janeiro é um compilado de bases. As pastas referentes a fotos de rosto vieram da base pública do TSE.

Outra possibilidade apontada pelo especialista é a de que a base de janeiro e a do Poupatempo têm a mesma origem, mas, em algum momento, se dividiram e evoluíram de formas diferentes. Isso pode ser explicado pelo fato de que os endereços residenciais nas duas bases divergem em alguns momentos.

“Nesse caso, há duas possibilidades: os endereços foram acrescentados de forma independente às duas bases, ou o proprietário da base de janeiro descartou endereços e fez correções nas informações do Poupatempo”, diz ele.