Foto: vladwel/Getty Images/iStockphoto

Para saber se você foi afetado pelo vazamento de dados pessoais que atingiu 220 milhões de brasileiros, divulgado nos últimos dias, o desenvolvedor Allan Fernando Armerlin da Silva Moraes, 18 anos, criou o site chamado “Fui Vazado”. Ali, os interessados podem buscar na base de dados se alguma das suas informações está pública.

A página entrou ao ar na quinta-feira (28) e ontem já estava sobrecarregada, o que fez com que ficasse instável. Para conseguir consultar as informações é preciso paciência. “Foram mais de 445 mil consultas nas últimas 24 horas”, contou Moraes.

Na lista de informações vazadas estão CPF, salário, escore de crédito —consultado por lojas quando o consumidor faz compras—, cheques sem fundos e números de telefone, entre outros. Há ainda dados de 104 milhões de veículos, de placas até o tipo de combustível usado, segundo a PSafe, uma das empresas que identificou o vazamento. É provável que o banco tenha incluído dados de pessoas já falecidas.

Segundo o desenvolvedor, que trabalha na formação e inclusão profissional de pessoas que são autistas, como ele, a página foi construída para facilitar a consulta por qualquer pessoa. Ele diz que a base de dados é grande —só os arquivos com informações de pessoas físicas têm 50 Giga— e nem todo computador poderia processar as informações.

Ele nega interesse financeiro por trás da ferramenta, mas diz que procura anunciantes para custear despesas e evitar que o site siga instável. “É só para manter funcionando”, diz.

Os dados vazados foram disponibilizados em um fórum na internet —o link para o conteúdo foi retirado do ar há cinco dias. Após fazer o download, Moraes passou a analisar as informações com uso de duas linguagens de programação: Python e Apache Spark. “A primeira coisa que eu fiz foi ver se meus dados e de pessoas próximas constavam ali. E estava tudo lá.”

Para fazer a consulta é preciso digitar CPF e data de nascimento. Em seguida, o internauta é direcionado para outra página com uma lista com todas as informações vazadas, organizada na vertical. Por exemplo, IRPF (Imposto de RendaPessoa Física). Na lateral direita da lista, há um quadrado para cada dado. Caso esteja marcado em verde, é sinal que as informações pessoais foram vazadas. Caso contrário, não foram.

Mas pode isso?

Apesar de útil, logo que o site surgiu começaram as críticas e os alertas sobre outros perigos de manter uma página assim no ar. Especialistas ouvidos por Tilt divergem sobre uma ilegalidade do serviço oferecido pelo “Fui Vazado”.

A especialista em proteção de dados e advogada no escritório Raul Bergesch Daniela Rauch observa que “aparentemente, por não ter fins econômicos, a plataforma não fere a LGPD (Lei Geral de Proteção de Dados), em vigor desde setembro do ano passado.

Mas a possibilidade de terceiros fazerem a consulta no nome de outra pessoa preocupa Andrea Willemin, especialista em proteção de dados da Comunidade Europeia. Para a pesquisadora, o “Fui Vazado” deveria dispor de um validador, uma credencial que garante que quem está fazendo a consulta é, de fato, a mesma pessoa. Esse mecanismo poderia funcionar como uma assinatura digital. Por não possuir o validador, ela entende que o site, mesmo não oferecendo as informações pormenorizadas, comete uma ilegalidade e vai contra a LGPD.

“A ideia de fazer a consulta é ótima. Porém, são informações sensíveis, e o problema é que qualquer um pode pesquisar (tendo o CPF e a data de nascimento). Eu não autorizei entregar dados para qualquer um”, explica.

Por não apresentar um detalhamento maior do que vazou, Rauch que o site não traz muitas vantagens. “Só vai matar a curiosidade, mas a pessoa vai se expor ainda mais”, diz. A advogada observa que quando for descoberta a origem do vazamento será possível que os lesados entrem com ações individuais ou coletivas.

Já o engenheiro de sistemas e computação e professor da UFRGS (Universidade Federal do Rio Grande do Sul) Edison Pignaton de Freitas não vê problemas com a consulta no site. “Não vi maneira de uma pessoa explorar vulnerabilidade, de conseguir mais informações pessoais. Não achei nada de suspeito”, afirma.

Por outro lado, o pesquisador alerta que nenhum sistema é 100% seguro e, por isso, há riscos de o site ser invadido por hackers e as informações serem tomadas. “Todo site, de certa forma ou outra, tem vulnerabilidade intrínseca. Não tem como determinar que haja vulnerabilidade agora, mas há dois dias um hacker pode descobrir uma.”

Qual é o risco real para a população?

Alto, segundo especialistas, devido ao número de informações reunidas no banco de dados vazado. Com CPF, nome completo, data de nascimento e telefone um golpista já pode obter um cartão de crédito fingindo ser você, por exemplo. “Tem milhões de coisas que se pode fazer. De cometer crimes no seu nome até invadir a vida privada”, diz Andrea Willemin, advogada com experiência em proteção de dados.

A recomendação é, a partir de agora, acompanhar rotineiramente extratos bancários e do cartão de crédito, salienta a professora de redes da PUC-RS (Pontifícia Universidade Católica do Rio Grande do Sul) Cristina Moreira Nunes. Outra dica de Alexandre Bonatti, diretor de Engenharia da empresa de cibersegurança Fortinet, é estranhar consultas atípicas no CPF que não foram solicitadas.

 

Fonte: Tilt