TSE

Fotos de Flávio Dino como candidato nas eleições de 2014 (esq.) e de 2018 usadas no site do TSE; imagens aparecem em amostra de banco de dados vazado

Entre as bases de dados do megavazamento que expôs 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, uma das que mais chama atenção era a que trazia fotos de rosto — segundo o anúncio do criminoso, há imagens de mais de 1 milhão de faces. Há indícios, porém, de que as imagens são públicas e não pertencem a uma base de dados fechada. Após uma análise do Estadão em parceria com a empresa de cibersegurança Syhunt, foi possível detectar que as imagens contidas nas amostras do hacker são de candidatos a cargos políticos — aspirantes a vereadores, deputados, prefeitos e governadores. São as mesmas imagens utilizadas pelo Tribunal Superior Eleitoral (TSE) em sua plataforma DivulgaCand, que permite aos eleitores pesquisarem candidatos durante as eleições. 

As imagens analisadas faziam parte de um dos arquivos postados pelo hacker no início de janeiro em um fórum na internet — o link foi tirado do ar no final da semana passada. Esse arquivo trazia pacotes de dados que servem como uma espécie de 'amostra grátis' daquilo que o criminoso diz ter. São 37 categorias para pessoa física, nas quais ele colocou dados aleatórios de cerca de 1.000 pessoas. Dentro da pasta de fotos, há outras cinco pastas com os nomes 2012, 2014, 2016, 2018 e 2020 — todos são anos eleitorais. Entre as 37 categorias, essa é a única com pastas indicando informações nesses anos. No anúncio do hacker, ele indicava ter compilado os dados em 2019.  

O Estadão escolheu aleatoriamente 10 fotos em cada uma das pastas — três delas (2012, 2016 e 2020) tinham, em média, 400 fotos. Outras duas (2014 e 2018) tinham em média 25 fotos. No total, a reportagem analisou 50 imagens. Todas eram de candidatos e podiam ser encontradas no site do TSE. Não há padrão de distribuição: há candidatos a vereadores em cidades em todas as regiões do Brasil. O mesmo vale para candidatos a deputado estadual e federal — novamente, há nomes em todas as regiões do Brasil. Há também nomes eleitos e não eleitos. 

O nome mais conhecido que apareceu na análise da reportagem foi o de Flávio Dino (PCdoB), governador do Maranhão. Há fotos dele nas pastas de 2014 e 2018. A existência de pessoas com mais de uma foto, como aconteceu com Dino, é mais um indício de que as imagens pertencem ao banco de imagens de candidatos, pois uma mesma pessoa pode se candidatar a cargos públicos em processos eleitorais diferentes. 

Há mais indícios de que as imagens são apenas de candidatos. No começo da semana, o Estadão mostrou que dados de algumas das maiores autoridades do Brasil também estão à venda após o megavazamento. Entre os afetados estão o presidente da República, Jair Bolsonaro (sem partido), o ex-presidente da Câmara, Rodrigo Maia (DEM-RJ) , o ex-presidente do Senado, Davi Alcolumbre (DEM-AP), e os 11 ministros do Supremo Tribunal Federal (STF). Os ministros do STF, que não disputaram cargos políticos nos últimos anos, não têm fotos à venda. O mesmo não acontece com Bolsonaro, Maia e Alcolumbre, que disputaram cargos eletivos e têm fotos à venda. 

Outro indício é que a Syhunt analisou alguns nomes que têm fotos à venda, mas cujas imagens não foram incluídas na amostra. Novamente, os nomes eram de candidatos. Além disso, o hacker, aparentemente, não incorporou fotos de redes sociais. Embora tenha ofertado os links para perfis no LinkedIn, os donos dessas páginas não aparecem listados no catálogo com fotos à venda. A maior inconsistência da análise é que o número de fotos que o hacker diz ter (1.176.157) é inferior ao número de candidaturas entre 2012 e 2020 exibida no site do TSE (1.591.320).

“Existem dois caminhos para obter essas imagens: ou foi diretamente no TSE ou em algum outro banco de dados que utiliza as fotos”, diz Felipe Daragon, fundador da Syhunt. Apesar de estarem disponíveis publicamente no site do TSE, as imagens são disponibilizadas para que outros sites as utilizem — é assim que veículos de comunicação, como o Estadão, criam seus próprios sites de pesquisa de candidatos durante as eleições. 

O banco de fotos apenas com imagens de políticos reforça uma tese que vem ganhando força entre especialistas de segurança: os dados que estão à venda na internet vieram de fontes diversas, e não apenas de um único lugar. Inicialmente, o Serasa foi apontado como a origem dos vazamentos — uma das bases se chama Mosaic, um serviço do birô de crédito. Além disso, há documentos em PDF que funcionam como ‘manuais de instruções’ de produtos do Serasa, como o score de crédito. 

A empresa tem repetidamente negado que seja a fonte. Em nota, diz: "Estamos cientes de alegações de terceiros sobre os dados disponibilizados na dark web. Conduzimos uma extensa investigação e neste momento nenhum dos dados que analisamos indicam que a Serasa seja a fonte. Muitos dos dados analisados incluem elementos que não temos em nosso sistema e os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos."

A base de fotos com rostos de candidatos, porém, não é sinal de que todo o pacote do hacker seja composto apenas por informações públicas. “Na ‘amostra grátis’, o hacker tomou o cuidado de não incluir informações dos candidatos nas fotos. É uma maneira de indicar que ele tem de verdade as informações que está vendendo”, diz Daragon. Essa ‘amostra grátis’ permitiu a circulação gratuita de informações de 40 mil brasileiros até o final da semana passada. Daragon ainda lembra que o hacker também publicou uma espécie de catálogo, em que possíveis interessados nas informações poderiam consultar por CPF o que havia à disposição. Nesse catálogo, há 223 milhões de CPFs.    

Segundo especialistas ouvidos pelo Estadão, esse pode ser o maior roubo de informações da história do País — ele foi reportado inicialmente em 19 de janeiro pela empresa de segurança digital PSafe. A origem do vazamento ainda é desconhecida. “Acrescentar fotos às outras bases de dados pode ter sido uma tentativa do criminoso de valorizar mais aquilo que está vendendo”, diz Daragon. 

TSE responde 

Procurado pela reportagem, o TSE reforçou a ideia de que as imagens estão disponíveis em um banco de dados público. “As fotos dos candidatos são públicas e estão livremente disponíveis para download a qualquer pessoa pelo Repositório de Dados Eleitorais, não sendo necessário nenhum ataque cibernético para obtê-las”, diz nota enviada à reportagem. 

Questionado se a captura de imagens pelo hacker poderia estar ligada ao ataque sofrido pelo órgão no dia de votação do primeiro turno das eleições de 2020, o órgão disse: “O ataque sofrido pelo TSE no primeiro turno das eleições municipais de 2020 não tem qualquer relação com os dados constantes do megavazamento. O ataque foi restrito a informações administrativas, ligadas a dados de pessoal do TSE, não tendo alcançado nenhum dado eleitoral”.

Órgãos se manifestam

Na segunda, 25, a Secretaria Nacional do Consumidor (Senacon) afirmou que instaurou um procedimento de averiguação preliminar para “avaliar a materialidade e autoria” do vazamento. O órgão deu um prazo de 15 dias para o Serasa Experian responder às seguintes perguntas: se a instituição reconhece que os dados vazaram de suas bases ou de operadores parceiros, por quanto tempo os dados ficaram expostos, quem teve acesso aos dados e que dados foram acessados.

Além disso, a Senacon questiona as medidas tomadas pela empresa para melhorar a segurança da privacidade dos titulares dos dados e também pede esclarecimento sobre seu modelo de negócios para entender se algum serviço do Serasa envolve a disponibilização, o fornecimento ou o tratamento de dados.

Na quinta, 28, o Procon-SP notificou o Serasa pedindo explicações sobre o caso. Já a Autoridade Nacional de Proteção de Dados (ANPD) se manifestou apenas na quarta, 27, oito dias após o caso vir a público. 

Em nota ao Estadão, a ANPD disse que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes e oficiará para apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação”. 

O órgão afirma ainda que “sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados, para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”.