Vazamento de dados da Serasa: Instituto SIGILO abre inscrições para interessados em Ação Civil Pública

O Instituto SIGILO (Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação) iniciou o cadastramento de interessados possivelmente impactados pelo vazamento de dados de 2021 que afetou mais de 223 milhões de brasileiros (vivos e mortos).

O caso ficou publicamente conhecido como “megavazamento do Serasa”, visto que a base de dados da instituição foi a primeira a ser publicamente atribuída como responsável pelo incidente, embora o birô tenha afirmado à época que não encontrou indícios de que seus sistemas teriam sido os afetados.

Os brasileiros interessados em saber mais sobre o ocorrido e quiserem se inscreverem para participar da Ação Civil Pública que será iniciada pelo SIGILO, podem acessar o site oficial pelo endereço: https://sigilo.org.br/caso-serasa. As inscrições serão reunidas pela entidade e juntadas nos autos do processo.

Vale mencionar também que o SIGILO, por sua vez, é uma instituição sem fins lucrativos, focada na defesa dos direitos de usuários de Internet brasileiros. O intuito principal, de acordo com a descrição da própria organização, é supervisionar a proteção de dados pessoais, segurança da informação e execução de práticas de compliance em todas as instâncias que se fizerem necessárias, bem como

A Associação também possui fins educacionais, trabalhando como uma ponte para reunir agentes da sociedade – como ONGs, empresas, cidadãos e governos –, estimulando a discussão temas em torno de dados, pessoais ou não, e compliance para, então, construir modelos sustentáveis de práticas empresariais ou não, no sentido de respeitarem os princípios de: (1) licitude, lealdade e transparência (Lawfullness, Fairness & Transparency), (2) adequação e limitação da finalidade (Purpose Limitation), (3) necessidade ou minimização (Data Minimisation), (4) qualidade dos dados ou exatidão (Accuracy), (5) limitação da conservação (Storage Limitation), (6) segurança, integridade e confidencialidade (Integrity and Confidentiality) e (7) prestação de contas ou responsabilização (Accountability).

Imagem: Unsplash

Via Convergência Digital

Relembre o caso do vazamento de dados do Serasa

Em meados janeiro de 2001, diversos dados e informações pessoais (algumas não públicas) de usuários brasileiros foram encontradas a venda em fóruns de Internet obscuros.

Na ocasião, dados de 223 milhões de brasileiros (vivos e mortos) foram vazados, incluindo: nome, CPF e fotografia, que são dados mais “comuns” encontrados em vazamentos de Internet, mas também outras informações como salário, renda, nível de escolaridade, estado civil, score de crédito.

O vazamento foi atribuído em um primeiro momento ao Serasa Experian, que chegou a ser notificado pelo Procon-SP para esclarecimento sobre o ocorrido, com base na Lei Geral de Proteção de Dados (LGPD) e o Código de Defesa do Consumidor (CDC), que preveem sanções para esse tipo de ocorrência.

O Serasa chegou a responder à solicitação do Procon, afirmando que teria realizado uma investigação interna e não chegou a encontrar nada que indicasse que houve vazamento a partir da das bases de dados gerenciada pela companhia.

Em nota liberada à época, o Serasa Experian afirmou que:

“Com base em nossa análise detalhada até este ponto, concluímos que o Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos. Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos ao Serasa não correspondem aos dados em nossos arquivos.”

Especialistas em segurança digital reportaram que os dados podem ter sido provenientes de diversas fontes, mas não houve uma definição concluída em 2021 (via Estadão).

Ainda durante o período de investigações, Procon acionou a Polícia Civil para que fosse iniciada uma investigação por meio da Delegacia de Crimes Cibernéticos, com intuito de averiguar o caso.

O Supremo Tribunal Federal (STF) também se mobilizou à época, sobretudo porque alguns dos dados vazados foram identificados como sendo de magistrados da corte. O ministro Luiz Fux chegou a pedir providências a respeito de suposta comercialização de dados dos magistrados da Corte, noticiada pelo site do jornal “O Estado de S.Paulo”.

Em fevereiro, a Polícia Federal abriu uma investigação e, em março, chegou a prender hackers suspeitos de colocar as informações à venda (via G1), em uma ação apelidada de Operação Deepwater.