Especialistas pedem cuidado para sites que checam vazamento de dados
Sites oferecem a possibilidade de descobrir se suas informações foram disponibilizadas na internet
Desde que foi descoberto o megavazamento de dados em fins de janeiro, sites oferecem a possibilidade de descobrir se suas informações foram disponibilizadas na internet. Especialistas, no entanto, não recomendam utilizá-los.
Algumas plataformas podem acabar comprometendo os usuários ao pedirem ainda mais informações, afirmam.
"A recomendação geral é evitar sites ou serviços que, para fazer esse tipo de verificação, pedem mais dados pessoais, como CPF, porque pode ser uma forma de confirmar que a pessoa que teve os dados vazados existe mesmo", diz Nathalie Fragoso, do InternetLab.
Um dos sites mais comentados foi o Fui Vazado, cuja consulta era realizada a partir do fornecimento do CPF e da data de nascimento.
O Procon de São Paulo chegou a pedir uma investigação à Polícia Federal sobre o site, alegando que seu desenvolvedor não justifica como teve acesso às informações, além de pedir dinheiro para a manutenção do serviço.
Leia também
• Moraes manda a PF investigar venda de dados de ministros
• 84% dos brasileiros nunca checaram como empresas usam seus dados pessoais, diz pesquisa
• Dados vazados podem render R$ 80,8 milhões ao criminoso
Após críticas, o desenvolvedor disponibilizou o código fonte para atestar a legitimidade do site, mas técnicos consideram que pode haver, por exemplo, falhas de segurança, ainda que não intencionais.
O Fui Vazado está fora do ar desde sexta-feira (5), bloqueado após decisão do ministro Alexandre de Moraes, do STF (Supremo Tribunal Federal). Moraes instaurou inquérito para investigar o megavazamento de dados de mais de 220 milhões de brasileiros, em janeiro.
Segundo levantamento feito pela Syhunt, dados de autoridades do país estão entre as informações que o hacker tenta vender na internet. Estariam expostas informações do presidente Jair Bolsonaro (sem partido), do ex-presidente da Câmara Rodrigo Maia (DEM-RJ) e do presidente do STF, Luiz Fux, entre outras autoridades.
O ministro Alexandre de Moraes também pediu o bloqueio de outros dois sites, desta vez da deep e dark web –espaços nos quais o rastreamento dos computadores usados para acessar os sites é praticamente impossível.
Os especialistas alertam para o que chamam de "prova de vida". Basicamente, hackers que têm acesso às informações vazadas costumam buscar confirmar se as pessoas em questão existem de fato e estão vivas, para então aplicar possíveis fraudes.
Leonardo Rebite, presidente da organização Combate à Fraude, é mais enfático sobre a questão: "Todos os dados foram vazados. Mais de 220 milhões de dados vazados, até de quem já morreu. Não precisa nem pesquisar. Você foi vazado", diz.
Em outros países, como nos Estados Unidos, existem sites de checagem consolidados, considerados mais confiáveis justamente por não pedirem informações sensíveis.
"Há sites que fazem isso há anos e eles descrevem quem são. Eles inclusive não pedem dados que já não tenham. Mas falta no Brasil uma solução desse tipo, e pode ser que novos surjam como golpe", diz Fabro Steibel, do ITS (Instituto de Tecnologia e Sociedade).
Um exemplo de serviço disponível nos EUA é o haveibeenpwned.com, criado em 2013 e que pede apenas um endereço de email –a verificação é feita a partir de uma série de vazamentos ocorridos nos últimos anos. O nome do site faz referência a uma gíria da internet sobre ser sacaneado. Outro é o IdentifyTheft.gov, mantido pelo governo americano, que ajuda vítimas de fraude.
Há críticas de que ações para conter as consequências do vazamento deveriam ser tomadas pelas autoridades competentes, e não serem exclusividade dos cidadãos.
"A gente consegue individualmente minorar o nível de exposição a que estamos submetidos, mas nossa atuação como indivíduo é bem menos eficiente do que a de agentes públicos ou de quem trata e processa esses dados. Temos uma rede de instituições que são capazes de investigar e atuar para que haja responsabilização", diz Fragoso
Uma pessoa física não tem condições estruturais de construiu uma plataforma que deveria estar pública, defende Diogo Moyses, do Idec (Instituto Brasileiro de Defesa do Consumidor).
"Sentimos falta de uma ação imediata, robusta, que dê conta de informar os consumidores dos riscos. Dar transparência, informar e se comunicar com 220 milhões de brasileiros é tarefa do poder público, do conjunto de instituições que atuam com tema", diz.
Ele diz ainda que é necessária uma atuação do Congresso. "Há a possibilidade de se abrir uma Comissão Parlamentar de Inquérito. Estamos falando do maior vazamento de dados do Brasil, é papel do Congresso acompanhar a investigação e as ações que o poder público está tomando."
Ainda não se sabe a causa do vazamento. A suspeita é que possa ter sido o trabalho de um funcionário de uma entidade que possua megabancos de dados, como birôs de crédito e as chamadas databrokers –empresas que centralizam e comercializam esse tipo de informação. Essa é uma atividade controversa, mas que se fortaleceu com a Lei do Cadastro Positivo.
"Essas empresas existem como intermediários que organizam nossos dados pessoais. Elas são importantes, e dentro de um framework de dados pessoais são essenciais. O problema é que envolvem riscos, e podem elas mesmas desviar da finalidade", diz Steibel.
Executivos do mercado também avaliam que possa ter havido uma compilação de vários vazamentos que aconteceram nos últimos anos em um único arquivo, ou que um vazamento recente tenha sido complementado com informações que já estavam sendo vendidas no mercado.
O vazamento foi descoberto pelo laboratório de cibersegurança dfndr lab, da Psafe. Segundo a companhia, foram expostas informações de mais de 220 milhões de brasileiros -mais do que a população do Brasil, de aproximadamente 212 milhões de pessoas, o que indica que a divulgação indevida inclui dados de pessoas que já morreram e de CPFs inativos.
A partir de agosto deste ano, a LGPD (Lei Geral de Proteção de Dados) vai prever penalizações para este tipo de vazamento, que vão desde sanções administrativas a multas de até R$ 50 milhões por infração para as companhias responsáveis.