Pixabay

As bases criadas por entidades desconhecidas ou por pessoas físicas podem apresentar vulnerabilidades de segurança

Após o megavazamento de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, começam a surgir sites na internet que prometem checar se as informações das pessoas estão expostas na internet — as ferramentas costumam pedir CPF e data de nascimento para fazer a suposta verificação. Especialistas ouvidos pelo Estadão, no entanto, desaconselham a consulta por esses sites e falam que a melhor maneira é continuar a monitorar contas bancárias e transações financeiras.

Para Jéferson Campos Nobre, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS), realizar esse tipo de consulta pode confirmar se as informações dos cidadãos estão corretas. “Se o usuário se busca na base, alguém levanta um indicador de que aqueles dados podem ser verdadeiros e isso torna a base de dados ainda mais confiável”, diz. “Ter o CPF confirmado é, sim, uma informação relevante.”

Além disso, bases criadas por entidades desconhecidas ou por pessoas físicas podem apresentar vulnerabilidades de segurança, tornando os dados sujeitos a fraudes de terceiros, diz Fabio Assolini, analista sênior de segurança da Kaspersky. “Esse site pode ser invadido e alguém pode ganhar acesso de forma gratuita, sem precisar comprar as informações”, afirma. 

Outra vulnerabilidade que sites de consulta permitem é o roubo de “identidade” do domínio (o DNS), isto é, o endereço eletrônico da página. Similar a golpes que ocorrem com páginas falsas de bancos, invasores podem espelhar o DNS com um site falso, que vai coletando as informações à medida que os usuários preenchem o formulário falsificado.

Atualmente, a base de dados “original” é vendida na internet por pacotes a partir de US$ 500 na internet. As informações incluem dados das maiores autoridades dos poderes Executivo, Judiciário e Legislativo do País, como Jair Bolsonaro, Rodrigo Maia e Luiz Fux.

O que fazer?

“E se as informações foram de fato expostas, o que eu faço? Adianta algo descobrir que foi vazado? Inicialmente, não”, questiona o professor da UFRGS.

Nesse caso, o mais seguro é continuar a monitorar as transações financeiras e, em caso de algo suspeito, realizar um boletim de ocorrência citando o megavazamento de dados de 19 de janeiro — foi na data que o caso se tornou público por meio da empresa de cibersegurança PSafe.

É possível, porém, tomar algumas medidas preventivas. Assolini recomenda que, caso o cidadão se sinta desprotegido, é possível usar senhas únicas para cada conta na internet — isso acrescenta uma camada extra de dificuldade para possíveis invasores. Outro ponto recomendado pelo especialista é usar a ferramenta do Banco Central, o Registrato, que mensalmente reúne as informações financeiras dos cidadãos em um só lugar — o que permite analisar de forma prática se há algo estranho.

Por fim, Assolini recomenda consultar bases de dados que não pedem informações pessoais dos usuários, somente informações impessoais, como e-mail. É o caso da minhasenha.com, que procura pela web se informações foram expostas recentemente a partir do correio eletrônico do usuário.