Vazaram dados. Muitos dados. Foto: Pixabay.

O dfndr lab, laboratório de cibersegurança da PSafe, identificou que dados de mais de 220 milhões de pessoas têm sido comercializados ilegalmente em fóruns da dark web, mas não descobriu onde o vazamento aconteceu.

De acordo com o site CISO Advisor, o banco de dados vazado reúne nome completo, data de nascimento e CPF de potencialmente quase todos brasileiros, incluindo até mesmo autoridades do país.

A estimativa do IBGE aponta que o Brasil tenha atualmente cerca de 211,8 milhões de habitantes, mas uma auditoria do TCU recentemente constatou que o país tem 12,5 milhões de CPFs ativos a mais do que a população total.

Também foram expostas informações sobre mais de 104 milhões de veículos, contendo número de chassi, placa do veículo, município, cor, marca, modelo, ano de fabricação, cilindradas e até mesmo o tipo de combustível utilizado. 

Além dos dados de pessoas físicas, ainda vazaram informações de 40 milhões de empresas, contendo CNPJ, razão social, nome fantasia e data de fundação.

Segundo a empresa, o mais comum é que essas informações sejam utilizadas para golpes de phishing. 

Uma vez que o cibercriminoso tenha o CPF e outros dados reais da pessoa, seria fácil se passar por um serviço legítimo e utilizar engenharia social para obter dados mais críticos, que poderiam ser utilizados para pedir empréstimos, senha de banco e contratações de serviços, por exemplo.

“Os cibercriminosos disponibilizam parte das bases para comprovar a veracidade das informações obtidas e tentam de alguma forma lucrar com esses incidentes, vendendo dados mais aprofundados como e-mails, telefones, dados de poder aquisitivo e ocupação das pessoas afetadas”, explicou Emilio Simoni, diretor do dfndr lab, ao CISO Advisor.

De acordo com a Lei Geral de Proteção de Dados (LGPD), as penalizações para este tipo de vazamento poderão ser aplicadas a partir de agosto deste ano. Elas vão desde sanções administrativas a multas altíssimas, que podem chegar a R$50 milhões por infração para as empresas responsáveis.

Os pesquisadores seguem investigando como essas informações confidenciais teriam sido obtidas por cibercriminosos.