PUBLICIDADE

Megavazamento de janeiro fez meio milhão de celulares corporativos circularem na internet

Pacote de dados disponibilizado gratuitamente por hacker inclui celulares de empresas nas regiões Sul, Sudeste, Centro-Oeste e Norte; companhias já percebem aumento nas tentativas de golpes

Foto do author Bruno Romani
Por Bruno Romani
Atualização:
Números telefônicos corporativos circularam na internet Foto: Nilton Fukuda/Estadão

Após o megavazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, mais de meio milhão de celulares corporativos já circulam livremente na internet - embora os dados estejam à venda, o hacker tornou pública uma pequena parte das informações. A conclusão é da empresa de segurança Syhunt, que analisou com exclusividade para o Estadão alguns dos arquivos disponibilizados pelo hacker na internet.

PUBLICIDADE

Um dos arquivos é considerado o ‘catálogo’ do criminoso - nele, estão listadas, mas não reveladas, as informações que estão à venda. A partir disso, foi possível identificar que dos 40 milhões de CNPJs listados, 28 milhões têm à venda números de celulares corporativos de seus funcionários. No total, a Syhunt estima que o hacker tenha em mãos cerca de 200 GB de informações referentes a pessoas jurídicas. É por meio do catálogo também que foi possível identificar que estão à venda de dados de autoridades, como antecipou o Estadão

Os outros pacotes de dados, um para pessoa física e outro para pessoa jurídica, são uma espécie de 'amostra grátis' daquilo que o hacker tem para oferecer. Para pessoas físicas, são 37 categorias de informações preenchidas, em média, com dados aleatórios de mil pessoas cada. Para pessoas jurídicas, aparecem cerca de mil empresas em cada uma das 17 categorias. O número específico de cada pasta pode variar. Todas as informações das amostras grátis estavam disponíveis para serem baixadas e circularam livremente pela internet desde o começo de janeiro - o caso se tornou público em 19 de janeiro. 

Ao analisar na amostra a pasta referente a números telefônicos, foi possível detectar que estavam disponíveis 532.696 celulares corporativos, número muito superior ao de números registrados para pessoa física (6.945). Entre as linhas de pessoa jurídica disponibilizadas, o hacker classificou 366.770 como números da operadora Vivo. Outros 12.123 números estão classificados como números da TIM. O restante não está classificado. Todos os números telefônicos estavam associados aos números de CNPJ das empresas. 

“O maior problema de números corporativos se tornarem públicos é que aumentam as tentativas de golpe junto às empresas”, explica Felipe Daragon, fundador da Syhunt. “Podem surgir golpes de engenharia social, no qual os criminosos se passam por uma fonte legítima para extrair informações valiosas”, diz. O Estadão apurou que, desde o vazamento dos números, já há empresas percebendo aumento nas tentativas de ataque junto aos seus números corporativos. 

“Os gestores e funcionários precisam ficar atentos a possíveis contatos, inclusive por WhatsApp, em números corporativos. Se o gestor suspeitar que os números tenham sido vazados, é importante trocar os números”, diz Daragon. 

A prevalência de números da Vivo no pacote é mais um indício de que o criminoso compilou informações de diferentes vazamentos num grande pacote. Em novembro de 2019, uma falha no site da Vivo expôs informações de 24 milhões de clientes. Não é possível determinar se os números oferecidos atualmente no pacote atual foram obtidos durante esta falha, porém, o hacker informa que o ano mais recente de atualização das informações telefônicas é 2019. 

Publicidade

Outro indício de que o hacker compilou informações também foi noticiado pelo Estadão, que mostrou que as fotos de rosto oferecidas no pacote são de candidatos a cargos eletivos nas nas eleições entre 2012 e 2020. Os dados pertencem ao repositório público do TSE. 

Inicialmente, o Serasa foi apontado como a origem dos vazamentos — uma das bases se chama Mosaic, um serviço do birô de crédito. Além disso, há documentos em PDF que funcionam como ‘manuais de instruções’ de produtos do Serasa, como o score de crédito. 

A empresa tem repetidamente negado que seja a fonte. Em nota, diz: "Estamos cientes de alegações de terceiros sobre os dados disponibilizados na dark web. Conduzimos uma extensa investigação e neste momento nenhum dos dados que analisamos indicam que a Serasa seja a fonte. Muitos dos dados analisados incluem elementos que não temos em nosso sistema e os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos." A tese de que o vazamento tem múltiplas fontes vem crescendo entre especialistas de segurança, que acreditam que esse é o maior vazamento da história do Brasil

Estados afetados

Os números corporativos que já circulam na internet estão registrados em diversas partes do Brasil. O pacote tem 179.172 números do DDD 11, seguido por números da região de Curitiba, cujo DDD é o 41 (93.194) - o Paraná aparece como o Estado mais afetado. Apenas Estados do Nordeste não aparecem na amostra vazada. 

A seguir todos os DDDs que foram afetados com a respectiva quantidade de linhas vazadas. 

Paraná 41=93.194 42=8.566 43=86.673 44=779 45=444 46=15.984 Total= 205.640

Publicidade

São Paulo  11=179.172 12=1.512 13=1.250 14=3.049 15=1.854 16=3.082 17=4.290 18=918 19=7.702 Total= 202.829

Minas Gerais  31=14.578 32=1.107 33=390 34=742 35=2.226 37=518 38=240 Total= 19.801

Rio Grande do Sul 51=8.767 53=163 54=2.615 55=6.257 Total=17.802

Rio de Janeiro 21=13.295 22=980 24=446 Total = 14.721

Distrito Federal 61=8.920

Goiás 62=5.405 64=1.108 Total=6.513

Santa Catarina 47=2.179 48=1.416 49=1.539 Total = 5.134

Publicidade

Espírito Santo 27=3.759 28=321 Total = 4.080

Mato Grosso 65=649 66=187 Total=836

Tocantins 63=439

O que dizem as operadoras

Em nota ao Estadão, a Vivo diz: “A Vivo reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade”. 

A TIM, também em nota, afirmou: “A empresa informa que não sofreu nenhum ataque ou vazamento que colocasse em vulnerabilidade os dados de clientes e ou dados próprios. Reforçamos ainda que prezamos pela segurança de dados, com as melhores práticas em cibersegurança.”

Novo vazamento de celulares

Publicidade

Na quarta, 10, o site NeoFeed revelou outro vazamento de número de celulares. Segundo o site, a empresa de segurança PSafe detectou que estão à venda mais de 100 milhões de números de celulares, incluindo os do presidente Jair Bolsonaro e do apresentador William Bonner. A empresa diz que notificará a Autoridade Nacional de Proteção de Dados (ANPD) sobre o assunto. 

O caso acontece menos de um mês após o megavazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos — o caso também foi revelado pela PSafe. Ao NeoFeed, a PSafe diz que encontrou no segundo vazamento dados que constavam no primeiro. Ainda, porém, é cedo para confirmar a conexão entre os dois incidentes. No primeiro vazamento, o hacker já havia disponibilizado telefones de 159 milhões de pessoas e de 28 milhões de empresas, por isso não é possível saber se o novo vazamento reciclou dados do primeiro.

Porém, o Estadão apurou que o novo vazamento traz campos de informações inexistentes no primeiro, como "volume de minutos gastos por dia", "maior atraso e menor atraso no pagamento", "dívidas", "valor de faturas" e "tempo de duração das ligações". Além disso, as novas bases de dados não estão sendo comercializadas no mesmo fórum do primeiro vazamento.

Órgãos se manifestam

Em 25 de janeiro, a Secretaria Nacional do Consumidor (Senacon) afirmou que instaurou um procedimento de averiguação preliminar para “avaliar a materialidade e autoria” do vazamento. O órgão deu um prazo de 15 dias para o Serasa Experian responder às seguintes perguntas: se a instituição reconhece que os dados vazaram de suas bases ou de operadores parceiros, por quanto tempo os dados ficaram expostos, quem teve acesso aos dados e que dados foram acessados.

Além disso, a Senacon questionou as medidas tomadas pela empresa para melhorar a segurança da privacidade dos titulares dos dados e também pede esclarecimento sobre seu modelo de negócios para entender se algum serviço do Serasa envolve a disponibilização, o fornecimento ou o tratamento de dados.

Em 28 de janeiro, o Procon-SP notificou o Serasa pedindo explicações sobre o caso. Já a Autoridade Nacional de Proteção de Dados (ANPD) se manifestou apenas em 27 de janeiro, oito dias após o caso vir a público. O caminho da ANPD em meio ao caso preocupa especialistas.

Publicidade

Em nota, a ANPD disse que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes e oficiará para apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação”. 

O órgão afirma ainda que “sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados, para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”. A TV Globo afirma que a ANPD acionou a Polícia Federal para investigar o caso. 

Após a reportagem do Estadão, sobre a venda de dados de autoridades, o ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF) determinou que a frente de investigação aberta para apurar a venda online de dados pessoais de autoridades corra associada ao inquérito das fake news, já em andamento na Corte sob sua relatoria. Ele também mandou derrubar 4 links relacionados ao caso, dois deles do fórum onde os dados foram postados e um outro para o download direto das informações. Isso, porém, não impediu que os dados continuassem à venda. 

Comentários

Os comentários são exclusivos para assinantes do Estadão.