Prisão de hacker não soluciona megavazamento, dizem analistas

PF diz ter identificado suspeito pela exposição de dados de 223 milhões

  • Salvar artigos

    Recurso exclusivo para assinantes

    assine ou faça login

São Paulo e Brasília
Dois meses após a empresa Psafe denunciar o vazamento de dados que considera o maior da história, a Polícia Federal prendeu nesta sexta (19) suspeitos de envolvimento com o episódio. Mesmo com a resposta de autoridades, o caso está longe de um desfecho para analistas em cibersegurança.
Especialistas têm levantado duas principais questões. A primeira é a motivação da prisão do hacker de codinome VandaTheGod, uma figura já conhecida por atividades ilegais e interrogada no caso de ataques ao TSE em 2020.
VandaTheGod, que anunciou a venda de dados até pelo Twitter, é visto apenas como um entre uma série de comerciantes da ponta do cibercrime. Eles revendem dados oriundos do megavazamento em fóruns indexados ao Google, ou seja, acessíveis a um usuário comum.
PF prende suspeitos de envolvimento em caso de vazamento de dados de brasileiros
PF prende suspeitos de envolvimento em caso de vazamento de dados de brasileiros - Divulgação

A PF, no entanto, entende que ele, cujo nome é Marcos Roberto Correia da Silva, pode ser um elemento importante para chegar a atores relevantes na concepção da megabase de 223 milhões de CPFs e outros dados vendidos na internet.

A PF diz que “identificou o suspeito pela prática dos delitos de obtenção, divulgação e comercialização dos dados, bem como um segundo hacker que estaria vendendo os dados por meio suas redes sociais”. O outro homem é chamado pela polícia de JustBR.

A Folha conversou com um terceiro hacker, próximo de ambos. Ele afirmou que Vanda recebeu a base e pôs alguns dados à venda, mas que não invadiu nenhum sistema para obtê-la. A reportagem não conseguiu contato com a defesa de Silva.

A segunda principal questão levantada por analistas de segurança é a sequência de “novos vazamentos” que surgem na esteira da denúncia da Psafe em fóruns da internet nos últimos meses, bem como o próprio conceito do que ficou intitulado megavazamento.

Assim como a PF lida com a hipótese de que o megavazamento seja, na verdade, um compilado de diversos incidentes, algumas empresas do setor também defendem essa tese.

Executivos dizem que houve uma migração de cibercriminosos para fóruns da surface (parte da web disponível a qualquer usuário, sem empecilhos de entrada como a deep web) e que pacotes são vendidos como novos, mas elaborados com dados requentados.

Eles alertam para a cautela ao considerar cada anúncio como um novo vazamento diante do alto fluxo de dados repassados entre criminosos.

“É possível roubar um dado uma vez e vendê-lo 1 milhão de vezes. O criminoso A invadiu, roubou e vendeu ao criminoso B, que vende no mesmo fórum que o A. Houve dois vazamentos? Não”, afirma Alexandre Sieira, fundador da empresa Tenchi Security.

Dados vendidos ilegalmente costumam ter três origens: roubo, vazamento acidental ou coleta legítima, segundo o analista.

Informações de registros de imóveis, processuais, além das disponíveis em Diários Oficiais e em redes sociais, podem ser usadas para enriquecer qualquer base e estão disponíveis na internet. A Lei Geral de Proteção de Dados, em vigor desde setembro, dificulta a coleta de novos dados pelas empresas, mas o que foi capturado antes da lei dificilmente sairá da internet.

Além disso, o comércio de extensas listas de CPF e telefones é comum desde a década de 1990, com informações armazenadas em CDs.

Marco DeMello, presidente-executivo da Psafe, que trouxe a história do vazamento à tona e vende serviços de proteção cibernética a companhias, afirma que os dados foram encontrados na deep web em 14 de janeiro. Sua equipe detectou 40 milhões de CNPJs, 104 milhões de registros de veículos e 223 milhões de CPFs.

As três bases eram vendidas pelo mesmo criminoso, que teria alegado à Psafe que as informações eram do Serasa e que ele havia entrado no sistema do birô de crédito por 18 meses. A companhia nega.

“Uma vez confirmado que o vazamento era real, informamos a ANPD [Autoridade Nacional de Proteção de Dados] e à imprensa. Demoramos cinco dias para fazer isso porque tínhamos que interrogar o criminoso, validar os dados da base que ele disponibilizou parcialmente para nós”, afirma. O preço era de US$ 1 a cada cem registros.

Segundo DeMello, o hacker abriu quase toda a base por alguns minutos. “Pesquisamos diversos CPFs, o meu, da minha equipe, da minha família, e batia mesmo.”

O criminoso também liberou o compilado mais simples, com CPF, nome, sexo e data de nascimento, e algumas pessoas baixaram e passaram a disponibilizar na “internet indexada”, ou seja, a disponível por pesquisa no Google. Isso, segundo DeMello, ajuda a explicar a posterior sequência de venda de pacotes de dados ilegais na surface (superfície, na tradução do inglês).

O próprio hacker teria alegado que a maioria, “80%, 90% seriam do Serasa”, e o resto, enriquecido. Para o executivo, esse vazamento importa porque é o “maior que ele já viu” em abrangência e profundidade.

O compilado completo inclui dezenas de pastas, com salários, empregos, escore de crédito, poder aquisitivo, fotos de rostos, registros de Bolsa Família, de INSS, FGTS e endereço, entre outros dados.

Para Fábio Ramos, presidente da Axur, que também monitorava o comércio dessas bases, os dados não foram encontrados na deep web. “Chama a atenção que [as bases] têm vários erros. Fizemos testes com CPFs e encontramos endereços errados, o que mostra que foi uma união de bases bastante grande”, diz.

VandaTheGod, o hacker preso pela PF, chegou a afirmar em uma rede social que os dados seriam de uma empresa privada ligada ao governo.

Na noite desta sexta, a ANPD se manifestou parabenizando a atuação da PF. “Ainda que as investigações não tenham sido finalizadas, a identificação de um suspeito e a sua prisão abrem caminhos para que se possa entender como tudo ocorreu especificamente e possam ser estruturadas medidas preventivas.”

  • Salvar artigos

    Recurso exclusivo para assinantes

    assine ou faça login

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.