Segurança

Plataformas ilegais vendem acesso a dados vazados de milhões de brasileiros

Vazados por profissionais das próprias instituições, dados são vendidos na internet em pacotes de assinatura por cerca de R$ 200

By - Igor Shimabukuro, 6 dezembro 2021 às 12:35

E se um sistema ilegal reunisse e disponibilizasse milhões de dados (incluindo nome, CPF, renda, entre outros) de brasileiros por meio de uma assinatura mensal? Isso seria um alívio caso não existisse, mas a verdade é que esse modelo de negócios criminoso (infelizmente) é mais que realidade em território tupiniquim.

Assinatura ilegal de dados

Uma investigação da Folha de São Paulo constatou a existência de diversas páginas que reúnem dados cadastrais de seis instituições do Brasil: CadSus, Receita Federal, Secretaria Nacional de Trânsito (Senatran), Instituto Nacional de Segurança Social (INSSS), Sistema Nacional de Armas (Sinarm) e Boa Vista.

Essas informações são obtidas pelos próprios funcionários dos órgãos, que possuem acesso aos respectivos sistemas. Eles então vendem seus logins ou fazem parcerias com cibercriminosos que, por sua vez, coletam todos estes dados e incorporam em bancos de dados de painéis ilegais.

Feito isso, os malfeitores vendem o acesso ao painel por valores mensais em torno de R$ 200. Quem garantir o plano poderá pesquisar pelo nome completo, RG, CPF, foto, assinatura da CNH, renda aproximada, benefícios sociais e diversos outros dados de milhões de brasileiros. Novos dados são incluídos periodicamente.

Isso por si só já seria um enorme problema. Mas para piorar, essas negociações não ocorrem nas profundezas da deep web — como de costume quando se trata em transações ilegais. Na verdade, os planos são vendidos na camada comum da internet, inclusive, por meio de redes sociais como o Facebook.

Principais riscos

Como resultado de todo esse aparelhamento ilegal, estes painéis permitem o cruzamento de informações e um perfilamento das vítimas. Com isso, os malfeitores podem utilizar os dados para planejar ações criminosas mais elaboradas, tanto no mundo real quanto no universo digital.

A combinação de renda mais o endereço da vítima pode resultar em ataques direcionados e colocar a segurança de determinados grupos em risco. Isso pode ir muito mais além, uma vez que as informações vazadas do Sinarm podem detalhar elementos confidenciais da polícia.

Ilustração dados vazados

Obtenção de dados privados de milhões de brasileiros pode facilitar ações criminosas no país – Imagem: Sora Shimazaki/Pexels

O aumento de golpes também se torna algo preocupante. Se as anunciantes podem utilizar dados para exibir propagandas customizadas, os cibercriminosos podem abusar do perfilamento das vítimas para criar fraudes personalizadas, quem podem ser potencializadas com chatbots e inteligência artificial para ações em massa.

Crime para quem vaza e para quem paga

De acordo com a advogada criminalista Roselle Soglio, a ação criminosa abrange os vendedores dos acessos e os próprios compradores. Ambas as partes podem ser enquadradas nos artigos 153 e 154 do Código Penal, que abordam a divulgação de conteúdo particular e invasão de dispositivos digitais.

Os funcionários públicos que vendem suas credenciais podem ainda responder por crime de peculato. “Nesse caso também incide o crime contra a administração pública. Tem um agravante porque eles deveriam proteger esses dados”, completou Soglio.

Por outro lado, vale lembrar que a Lei Geral de Proteção de Dados (LGPD) determina que as instituições afetadas cumpram com algumas obrigações. No caso de vazamentos, as entidades devem avisar as vítimas sobre os dados comprometidos, informar os riscos relacionados ao evento e auxiliar com dicas para mitigar os prejuízos.

As penalizações para quem descumprir essa legislação pode envolver desde advertência até proibição das atividades relacionadas ao banco de dados afetado. Além disso, a instituição terá de pagar uma multa que pode chegar a até R$ 50 milhões.

O que dizem as empresas

Em resposta à reportagem da Folha, a Polícia Federal confirmou que houve um acesso ao sistema, mas o incidente ocorreu por meio de login indevido e não de uma falha técnica.

O Ministério da Saúde afirma desconhecer as acusações de acesso por meio de logins válidos, mas assim como o INSS, disse que realiza o monitoramento constante para garantir a segurança dos usuários.

Já Receita Federal, Senatran e a empresa privada Boa vista declaram não ter identificado vazamentos de dados em seus sistemas.

Fonte: Folha de S. Paulo

brasil brasileiros cibercriminosos dados painéis planos por assinatura plataformas ilegais vazamento

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Subscribe
Notify of
0 Comentários
Inline Feedbacks
View all comments

Matérias relacionadas

Vazamento em empresa de Wi-Fi expõe dados de milhares de brasileiros

Cibersegurança: empresas brasileiras devem ampliar orçamento da área em 2022

Mais de 150 milhões de brasileiros sofreram ataques phishing em 2021, afirma PSafe

Veja Também

Segurança

Dados privados de população brasileira podem ter sido expostos novamente em vazamento
Imagem representativa mostra biscoitos (ou "cookies") em cima de um teclado de computador, em referência aos arquivos de navegação de internet dos usuários
Privacidade

Google já começou a desabilitar cookies de terceiros no Chrome
Logotipo da rede social Facebook
Tecnologia

Histórico de links: Facebook vai armazenar sites visitados pelos usuários para alimentar publicidade direcionada
Softwares

Google paga US$ 5 bi para pôr fim à ação coletiva por rastrear usuários no modo Incognito