Um novo vazamento de dados na internet pode ter exposto mais de 100 milhões de contas de celular neste mês de fevereiro, segundo o dfndr lab, da empresa de cibersegurança PSafe. Entre as informações vazadas estão o número de celular do presidente Jair Bolsonaro, do jornalista William Bonner e da apresentadora Fátima Bernardes. A informação foi divulgada inicialmente pelo site NeoFeed e confirmada pelo Estadão.
Segundo a PSafe, os dados estavam disponíveis para a compra na dark web desde o dia 3 de fevereiro deste ano e incluíam informações como CPF, número de celular, tipo de conta telefônica, minutos gastos em ligação e outros dados pessoais.
Ao todo, 102.828.814 contas foram vazadas e, a princípio, acredita-se que pertencem a usuários das operadoras Claro e Vivo. Seriam 57,2 milhões de contas da Vivo e 45,6 milhões da Claro.
Ao Estadão, a Vivo diz em nota: "A Vivo reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade."
Em nota, a Claro diz que não identificou vazamento de dados. Diz também: "Segundo informou a reportagem, a empresa que localizou a base não encontrou evidências que comprovem a alegação dos criminosos. Além disso, como prática de governança, uma investigação também será feita pela operadora".
A PSafe confirmou que dados do presidente Jair Bolsonaro estavam inclusos no vazamento, com informações como número de celular, valor da conta telefônica, minutos gastos por dia, CPF e data de nascimento. Os mesmos dados da apresentadora Fátima Bernardes também estariam disponíveis, além do jornalista William Bonner. O Estadão apurou que, assim como Bolsonaro, os dados telefônicos do apresentador do Jornal Nacional também estão à venda nas bases vazadas de janeiro. A PSafe não confirmou se existem dados de outras autoridades no pacote.
Fora do Brasil, o criminoso estaria vendendo as informações individualmente ou por pacotes, inicialmente ao valor de US$ 1 cada, mas com preços ainda menores se os dados fossem adquiridos em grande quantidade. O hacker ainda afirmou à empresa de cibersegurança que possui informações de 57,2 milhões de contas telefônicas da Vivo e de 45,6 milhões de contas da Claro.
A PSafe também informou que vai entrar em contato com a Autoridade Nacional de Proteção de Dados (ANPD) para que uma investigação sobre o caso seja conduzida.
Sobre o caso, Fernando Capez, diretor executivo do Procon-SP, disse ao Estadão: "Vamos pedir abertura de novo inquérito. Esses vazamentos irão provocar uma sequência de golpes em escala preocupante."
A Secretaria Nacional do Consumidor (Senacon) afirmou em nota que vai notificar as operadoras envolvidas e cobrar explicações sobre os vazamentos de informações divulgados nesta quarta-feira. "Nessa etapa da instrução processual, o DPDC/SENACON pretende aferir quais seriam os dados pessoais divulgados, de que forma foram vazados e quais consumidores foram afetados. A notificação objetivaidentificar se houve transgressão ao CDC, à LGPD e ao Marco Civil da Internet. Além de questões relacionadas à proteção de dados propriamente ditas, entendemos que há potencial lesão à legislação consumerista e à privacidade dos consumidores no ambiente virtual que merecem ser investigadas".
Já a ANPD informou, também em nota, que já está tomando providências para obter "informações oficiais" sobre o vazamento, além de cobrar de autoridades a apuração do caso. "A Autoridade segue atuando de maneira cooperativa com todos órgãos a fim de apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação. Concluída esta etapa, a ANPD sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados Pessoais (LGPD), para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos".
Conexão entre casos
O caso acontece menos de um mês após o megavazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos — o caso também foi revelado pela PSafe. Ao NeoFeed, a PSafe diz que encontrou no segundo vazamento dados que constavam no primeiro. Ainda, porém, é cedo para confirmar a conexão entre os dois incidentes. No primeiro vazamento, o hacker já havia disponibilizado telefones de 159 milhões de pessoas e de 28 milhões de empresas, por isso não é possível saber se o novo vazamento reciclou dados do primeiro.
Porém, o Estadão apurou que o novo vazamento traz campos de informações inexistentes no primeiro, como "volume de minutos gastos por dia", "maior atraso e menor atraso no pagamento", "dívidas", "valor de faturas" e "tempo de duração das ligações". Além disso, as novas bases de dados não estão sendo comercializadas no mesmo fórum do primeiro vazamento.
