Quase dois meses após o megavazamento de dados, uma base com o mesmo número de CPFs (223 milhões) oferece nome completo, email, endereço, celular, sexo e data de nascimento de milhões de brasileiros a um preço de cerca de R$ 95 mil (convertidos de 0,3 bitcoin).
O pacote, que tem uma amostra de 10 milhões de dados para "degustação", é atribuído ao Poupatempo, empresa paulista que oferece serviços públicos como emissão de carteira de identidade e de habilitação.
Procurado, o Poupatempo afirma que não passou por qualquer tipo de incidente de segurança.
"A Prodesp, empresa de tecnologia do governo de São Paulo, esclarece que não houve vazamento de dados de qualquer terminal do programa Poupatempo. A companhia adota rígidos controles e regras de acesso ao sistema de dados, que é monitorado 24 horas por dia em tempo real pelas equipes de TI", disse em nota.
A empresa acrescenta que "em mais de cinco décadas, e de inúmeras tentativas diárias, nunca houve vazamento de dados".
A reportagem também procurou a empresa de nome semelhante no Rio ("Rio Poupa Tempo"), mas não obteve resposta até a publicação do texto.
No compilado, há muitos registros duplicados, o que indica que a quantidade de dados válidos seja menor do que a comercializada.
A empresa de cibersegurança Cipher validou as informações de titulares com autorização dos mesmos. A reportagem verificou alguns registros da amostra e eles condizem com as identidades das pessoas.
Além de dados replicados, a base tem CPFs de moradores de outros estados do Brasil.
"É provável que haja um agregador de diferentes bases vazadas", afirma Fernando Amatte, diretor de inteligência cibernética na Cipher.
Isso significa que os dados vazados recentemente em fóruns da internet podem circular entre criminosos, que os agregam a outras bases e vendem a diferentes segmentos do cibercrime.
"O ator filtra os dados e vende as bases com um recorte segmentado. Para alguém que trabalha com spam, é interessante saber nome completo e email, por exemplo. Já o criminoso com foco em cartão de crédito e compra de internet precisa ter outra validação, como o CEP da cobrança", diz.
Por mais que o pacote seja oferecido com o nome do serviço paulista não significa que os dados vazaram de lá. Segundo especialistas, é provável que haja uma reunião de informações provenientes de diversas fontes ao longo dos últimos meses ou até anos.
Desde janeiro, outros vazamentos expuseram dados de milhões de brasileiros. O primeiro pacote continha CPF, nome completo, sexo e data de nascimento. Depois, vazaram dados de CNPJ e de habilitação de motorista.
Um pacote dizia conter dados mais amplos, como score de crédito e fotos de rosto. Ele foi ofertado como proveniente do Serasa, mas não há comprovação nessa linha e poucas pessoas tiveram a acesso a tais dados.
O caso é investigado pela Polícia Federal e pela ANPD (Agência Nacional de Proteção de Dados).
Também surgiram em fóruns ofertas recentes de números de celulares e senhas de email.
Dois pontos têm chamado a atenção de empresas de segurança: o enriquecimento das bases e a comercialização em sites indexados por buscadores como o Google (não sendo necessário recorrer à deep web para a compra). A mera comercialização de dados pessoais não é uma novidade no cibercrime.
A LGPD (Lei Geral de Proteção de Dados), em vigor desde setembro do ano passado, determina que empresas estatais ou privadas notifiquem titulares de dados após qualquer tipo de incidente que coloque em risco a exposição de informações pessoais.
