A relevância de alguns assuntos autoriza (ou exige)
revisitas periódicas, donde mais da metade das 5 mil e tantas postagens aqui no
Blog tratarem de segurança digital. O assunto chato, reconheço, mas
extremamente sensível. Sobretudo nos tempos estranhos em que vivemos.
Semanas depois de trazer a lume um
vazamento-monstro de 212 milhões de CPFs e outros dados sigilosos
(ou que deveriam sê-lo), a empresa de segurança PSafe expõe na vitrine
um repeteco envolvendo 102.828.814 milhões de contas de celular,
com CPF, minutos gastos em ligações e outras informações dos titulares
das linhas.
Não escaparam da audácia dos criminosos nem mesmo o
presidente da República, ministros do Supremo, deputados e senadores. No dia
1º, por meio do seu presidente, o STF exigiu providências ao ministro da
Justiça, André Mendonça. A Polícia Federal também abriu inquérito a
pedido da Agência Nacional de Proteção de Dados (ANPD).
A PSafe informa ter conseguido entrar em contato com
cibercriminoso responsável, que desde o último dia 3 vendia as informações na Dark
Web (por US$ 1 a unidade, mas com um bom desconto para quem as adquirisse
no atacado; para saber mais sobre Deep Web e Dark Web,
siga este
link).
Observação: De acordo com a legislação
que regulamenta o assunto, são passíveis de punição tanto a pessoa que roubou
os dados quanto as empresas que de alguma forma contribuíram para o vazamento.
De acordo com o que a PSafe apurou junto ao
cracker, vazaram 57,2 milhões de contas telefônicas da Vivo e
45,6 milhões da Claro — ainda não se sabe se clientes de
outras operadoras foram afetados.
A magnitude desses vazamentos é que eles expõem um
conjunto de dados muito amplo, tais como nome, CPF, foto, endereço,
celular, salário, email, ocupação, escolaridade,
classe social e poder aquisitivo, entre outros. Para
manter por algum tempo a propriedade exclusiva das informações, os bandidos não
vendem os 37 níveis de dados para um mesmo comprador, o máximo são dez. Com
essas informações em mãos é possível a aplicação de um número incalculável de
golpes.
A suspeita inicial é que os arquivos tenham sido
vazados dos servidores dos sistemas da Serasa Experian, por conta da
semelhança na estrutura do banco de dados. O Procon-SP já pediu
explicações à empresa e disse que “as penas previstas na LGPD, podem chegar
até R$ 50 milhões”.
A Serasa nega ter causado problema e respondeu
em nota que a “investigação até o momento mostrou discrepâncias
significativas entre as alegações feitas e os dados que mantemos em nossos
arquivos”.
O Banco Central disponibiliza uma
ferramenta que permite descobrir se dados pessoais foram usados indevidamente
(para abrir contas, contratar empréstimos etc.). No Registrato, qualquer
correntista de instituição bancária pode se registar e pesquisar sua situação
específica — o mesmo serviço é oferecido pelos aplicativos da Caixa
Econômica Federal, Banco do Brasil, Bradesco,
Santander e Itaú.
Em cada app existe um caminho específico para conseguir
o PIN necessário ao cadastramento. No caso do internet
banking, é preciso primeiro preencher os dados na página do BC para
obter uma frase de segurança que deverá ser validada dentro do site
bancário. Só depois disso que o cliente conseguirá cadastrar uma senha para
acessar o Registrato (essas etapas servem para comprovar que
aquela pessoa é de fato aquela pessoa para o Banco Central, já que
os relatórios produzidos pelo serviço são sigilosos e só podem ser consultados
pelo titular da conta).
Dentro do Registrato, é possível consultar
chaves Pix, operações de câmbio, dívidas e relacionamentos
financeiros. No caso de fraude, é preciso atentar principalmente para a última
sessão, que lista as instituições financeiras com as quais a pessoa tem ou teve
relacionamento — tanto físico quanto digital. Também entram nessa relação
serviços como PayPal, corretoras de valores (tipo XP Investimentos)
e até instituições que oferecem crédito pessoal (como a Crefisa).
O correntista que não reconhecer uma dívida ou conta
bancária deve entrar imediatamente em contato a instituição em questão, pedir o
encerramento da conta, dados como endereço e telefone usados pelo fraudador
(que, por óbvio, não deve ter colocado os da vítima) e fazê-los constar do
boletim de ocorrência, para facilitar o trabalho da polícia na investigação da fraude.
Note que você só saberá pelo Registrato se algum estelionatário obteve um cartão de crédito ou contraiu um financiamento no seu nome quando a dívida for gerada. E esse é o grande "xis" da questão: as pessoas só se darão conta do problema quando sofrerem algum tipo de fraude, o que pode levar anos para acontecer.
Com o cruzamento de informações contendo o poder aquisitivo, endereço e dados de familiares, os bandidos terão nas mãos todos os elementos para planejar um vasto leque de ações criminosas, entre as quais o sequestro. Portanto, barbas de molho.