Não é novidade que constantemente, temos o surgimento de informações relacionadas ao vazamento de dados pessoais ao redor do mundo, podendo estes dados abranger de informações superficiais a algo mais completo, o que poderia inclusive incluir dados financeiros, profissionais e de localização.

Numdos mais recentes exemplos desse caso mais profundo e complexo, tivemos nessa semana a notícia que uma base de dados com mais de mais de 223 milhões de CPFs e 40 milhões de CNPJs ocorreu, incluindo um completo dossiê em cada um dos que foram vítimas desse imenso vazamento, incluindo nome completo, salário, foto de rosto e score em bureau de créditos.

A principal suspeita da origem sobre os dados em questão recaiu sobre a Serasa Experian, empresa conhecida dos brasileiros pelos seus serviços no mercado de proteção ao crédito e que recentemente foi acionada na justiça para que parasse de vender dados pessoais dos brasileiros, tomando como base dessa ação a Lei Geral de Proteção de Dados (LGPD).

A possibilidade de o bureau de créditos ter sido a origem do vazamento ocorre por ter sido observado que informações relacionadas ao Mosaic (serviço da Serasa para prospecção de clientes e segmentação de anúncios com 11 grupos e 40 segmentos).

Segundo informações divulgadas pela PSafe, os dados são do mês de agosto de 2019 e incluem nome, CPF, fotografia, salário, renda, nível de escolaridade, estado civil, score de crédito, endereço, entre outros, sendo eles comercializados pela internet com pagamento em bitcoin e valor que depende da quantidade de CPFs comprada, totalizando 37 bases de dados

O surgimento de um vazamento desse vulto colocou em alerta os principais órgãos de proteção ao consumidor e a OAB, com movimentações distintas e que visam acima de tudo a apuração do caso em questão.

Começando pela Ordem dos Advogados do Brasil (OAB), temos que a entidade profissional oficiou e questionou formalmente a Autoridade Nacional de Proteção de Dados (ANPD) cobrando ações imediatas na apuração do vazamento em questão, alertando para os riscos envolvidos nesse vazamento.

Já o Procon-SP e a Senacon solicitaram esclarecimentos ao Serasa Experian, sendo concedido o prazo de 3 e 15 dias (respectivamente) para que o bureau de crédito ofereça um posicionamento formal a respeito do acontecido.

Adicionalmente, o Procon-SP confirmou o acionamento da Polícia Civil do Estado de São Paulo para que seja apurado o caso, algo que ficará nas mãos da Divisão de Crimes Cibernéticos.

Falando do outro lado da moeda, ou seja do que a Serasa Experian diz, temos o posicionamento formal (para o momento), sendo revelado que atualmente está sendo realizada investigação interna nos bancos de dados para verificar se estes realmente foram extraídos de sua base, sendo ainda citada que já foram identificadas “discrepâncias significativas”.

“Tem havido notícias na mídia de que um hacker está oferecendo ilegalmente dados sobre cidadãos brasileiros na web, alguns dos quais alega estariam relacionados à Serasa. Assumimos o compromisso de proteger a privacidade dos dados dos consumidores que tratamos de forma extremamente séria. Nossa investigação até o momento mostrou discrepâncias significativas entre as alegações feitas e os dados que mantemos em nossos arquivos. Iniciamos mais uma análise de arquivos adicionais que foram disponibilizados”.

Para fechar, temos também o surgimento do site "Fui Vazado!", que promete ajudar a descobrir se os seus dados fazem parte desse grande vazamento, sendo exibido após o fornecimento do CPF e data de nascimento completa quais dados podem ter sido violados com o vazamento, dividindo nas categorias Básico, e-mail, telefone, endereço, mosaic, ocupação, score de crédito, registro geral, título de eleitor, escolaridade, empresarial, receita federal e classe social.

No entanto, possivelmente devido a grande procura, o site vem apresentando lentidão e intermitências (o que inclui a apresentação do erro 504), sendo necessária a tentativa por algumas vezes para que talvez seja possível conseguir obter acesso.

• Fui Vazado!

Já para aqueles que desejam verificar o vazamento de dados relacionados ao CNPJ, temos o site BLB20 LeakCheck que é mantido pela empresa de segurança Syhunt e permite verificar se um CNPJ está entre os 40 milhões vazados.

Para fazer a consulta, o site exige o fornecimento do número do CNPJ e informações básicas da empresa como nome completo do responsável, e-mail corporativo, telefone e a informação se quem está solicitando os dados é o responsável pelo CNPJ ou um gestor de segurança da informação.

Uma nota curiosa no nome do serviço é que a sigla BLB é a abreviação para a frase Big Leak do Brasil 2020.

• BLB20 LeakCheck