Kacper Pempel/Reuters

Dados de brasileiros já circulam livremente na internet

Atualizado às 14h40 de 26 de fevereiro para incluir o posicionamento da Eduzz

Cerca de 12 milhões de brasileiros podem estar com suas informações e números de cartões de crédito expostos na internet. As informações foram colocadas à venda na manhã desta quinta-feira, 25, no mesmo fórum onde estavam sendo comercializadas as informações do megavazamento de janeiro, que expôs 223 milhões de CPFs, 104 milhões de licenças de veículos e 40 milhões de CNPJs .

O hacker publicou uma amostra do pacote roubado, apresentando dados como nome, email, telefone, CPF ou CNPJ, senhas de acesso e números de cartões de crédito de 12.476.181 contas - segundo o anúncio, os dados foram coletados em fevereiro de 2021. O pacote completo está à venda por US$ 50 mil. 

As informações na amostra, no entanto, estão com “rasuras digitais”. Segundo a empresa de cibersegurança Syhunt, não há como saber se os dados estão incompletos ou se a rasura é uma maneira de assegurar exclusividades sobre as bases para eventuais compradores. Além disso, nas rasuras, não há um padrão sobre o que foi ocultado, o que dificulta a detecção de eventuais padrões na ocultação da informação. 

De acordo com o post no fórum, as informações vêm da base de dados das marcas Eduzz, Nutror, Alumy, Blinket e Jobzz. As políticas de privacidade dessas páginas na internet levam ao site da Eduzz, que aparece como administradora do grupo.

A Eduzz é uma plataforma de venda de produtos digitais focada em pequenos e médios empreendedores. A Nutror é focada em gerenciamento de cursos online e a Alumy permite criar um clube de assinatura digital para dar aulas à distância. A Blinkett é a plataforma de eventos da Eduzz, enquanto a Jobbz permite que profissionais autônomos sejam contratados para prestação de serviços.

Em resposta ao Estadão, a Eduzz afirma que as credenciais e senhas da plataforma são criptografadas, garantindo a "proteção e segurança das contas dos nossos usuários". Além disso, a empresa declara que não armazena "dados integrais" de cartões de crédito das compras realizadas na plataforma: "Não há como acontecer um vazamento de dados de cartão de qualquer cliente ou a sua utilização para outras operações". Por fim, foi instaurada uma auditoria interna e externa de segurança, conforme os padrões da Lei Geral de Proteção de Dados (LGPD), com o intuito de esclarecer o caso.

O fundador da Syhunt, Felipe Daragon, explica que, se de fato for comprovado que houve um vazamento, este deve ter impacto menor, ao contrário dos vazamentos anteriores. “Os dados são relativos a esse conjunto de sites. É diferente dos outros vazamentos, que tinham alcance muito mais amplo”, explica ao Estadão. 

Ainda assim, o número de 12 milhões de afetados é “preocupante”, disse ele. Isso porque, como pode haver exposição de senhas no pacote, é possível chegar a outras contas na internet. “Os usuários costumam reutilizar as senhas em outros sites e isso pode comprometer o e-mail principal do indivíduo, por exemplo.”

Histórico

Em 11 de janeiro deste ano, cerca de 220 milhões de CPFs, 104 milhões de licenças de veículos e 40 milhões de CNPJs, bem como informações pessoais como documentos, escolaridade, fotos e extrato de imposto de renda, foram expostos.

Depois que o Estadão noticiou que dados de autoridades, como dos ministros do STF, faziam parte do megavazamento, o caso ganhou repercussão nacional. Atualmente, está sob investigação no Supremo Tribunal Federal (STF) no inquérito das fake news.