Dados de aposentados e servidores são vendidos na deep web, diz empresa

A empresa de cibersegurança ISH Tecnologia diz ter encontrado dois bancos de dados de brasileiros sendo vendidos na internet.

Um deles, que está sendo ofertado por US$ 600, seria do Siape (Sistema Integrado de Administração de Pessoal), empacotaria dados de um vazamento de 2020 com informações de servidores públicos federais e aposentados.

Com base na publicação do usuário, a empresa afirma ainda que o outro pacote engloba dados do SPC (Serviço de Proteção ao Crédito) - a entidade, porém, nega que tenha ocorrido vazamento de seus dados.

"Não é a verdadeira a informação da venda de dados pessoais provenientes do SPC", afirma o serviço em nota. "Foram realizadas as análises técnicas para apuração do caso, e o relatório conclusivo indica que os dados pessoais divulgados não possuem origem e correlação com a base de dados do SPC Brasil."

Os dados não passaram por análise da ISH Tecnologia. A empresa não sabe dizer quantas pessoas seriam afetadas pelos pacotes à venda.

As publicações teriam sido feitas no final de junho em um fórum de crimes cibernéticos criado no primeiro trimestre de 2022.

Os dados já saíram da dark web e estão na deep web, ou seja, um espaço de acesso mais fácil. Segundo o diretor de inovação da ISH Tecnologia, Leonardo Camata, é como se os dados estivessem emergindo para uma superfície mais navegável e exposta, como os sites que achamos em uma pesquisa no Google.

"Quando tem um vazamento desse tipo, essa informação vai parar lá na dark web, fóruns mais barra-pesada", afirma Camata. Para acessar a dark web é preciso de tecnologias específicas.

Embora seja usada, em alguns casos, para driblar a censura ou garantir a comunicação de pessoas perseguidas por governos, por exemplo, a dark web também tem comunidades voltadas para atividades ilegais, diz Luis Corrons, Pesquisador Adjunto Sênior da Avast.

"Ao longo dos anos, testemunhamos como grandes quantidades de informações pessoais foram vendidas na dark web, muitas delas provenientes de violações de dados", afirma.

Na deep ou na dark web, muitos desses fóruns são de difícil acesso e operam por meio de convite. O identificado pela ISH Tecnologia pode ser acessado por qualquer pessoa, segundo Camata.

Na publicação, de acordo com a empresa, os criminosos disponilizam um canal de contato via Telegram e pedem o pagamento via criptomoedas, para dificultar a rastreabilidade.

"Essas vendas ocorrem por reputação", afirma o Camata. Ou seja, o nível de confiança que o vendedor tem naquela comunidade.

O comprador pode ser alguém com pouca familiaridade com tecnologia, mas que tem interesse na informação para aplicar golpes.

"O vazamento de dados não é o final da fraude", afirma ele. Com mais informações, as fraudes ficam mais refinadas. Uma ligação que identifique o CPF e a data de nascimento da vítima, por exemplo, é mais crível do que um e-mail que pede para o usuário clicar em um link.

"O Brasil foi um dos últimos países que adotou uma lei como a Lei Geral de Proteção de Dados", afirma ele sobre o texto aprovado em 2018. A LGPD permite ao cidadão exigir de empresas públicas e privadas informações claras sobre quais dados foram coletados, como estão armazenados e para que finalidades são usados.

Soma-se a isso a vulnerabilidade dos dispositivos. Camata diz que os brasileiros ainda não se acostumaram a aplicar procedimentos de segurança, como pedir verificação em duas etapas em seus aplicativos e usar senhas diferentes para várias contas. "A cultura demora para ser transformada", afirma ele.

Diante do volume de vazamento de dados dos últimos anos, Camata afirma que a melhor precaução é partir do princípio de que qualquer novo contato pode ser malicioso, seja por e-mail, mensagem ou telefonema.