Em janeiro deste ano, mais precisamente no dia 11, foi divulgada a informação de que os dados de mais de 223 milhões de brasileiros estavam sendo comercializados livremente na deep web (o submundo da internet) e que a possível origem dessa base seria de uma das maiores empresas de birô de crédito no País.
Mas há uma série de questões colocam em dúvida essa informação, segundo Thiago Bordini, diretor de Inteligência Cibernética do Grupo New Space. A primeira delas é: a base de dados não estava sendo vendida no submundo da rede, mas em fóruns na internet, facilmente acessados por qualquer pessoa e inclusive indexados no Google.
Um desses fóruns existe desde março de 2015 e é conhecido pela maior parte das empresas de inteligência cibernética.
O cibercriminoso afirma que a base que vem sendo comercializada contém dados compilados até agosto de 2019, tem mais de 2 terabytes de informações e demorou cerca de um ano e meio para ser consolidada.
Para selecionar quais dados devem constar no lote adquirido, diz Bordini, é necessário executar um programa fornecido pelo cibercriminoso. Ele permite a escolha do perfil de dados, classe econômica, ou apenas dos demais campos de interesse. "Importante ressaltar que o ator limita a quantidade máxima de 10 escolhas de um total de 37 disponíveis para consultas de CPF, além de outros 17 específicos para CNPJ", diz o especialisa em inteligência cibernética.
"Aqui entra um outro ponto controverso: o programa disponibilizado foi analisado por diversos pesquisadores renomados na indústria de segurança da informação e em nenhuma análise foi identificada nenhuma atividade maliciosa no artefato, ao contrário do que alguns jornalistas apontaram em diversas reportagens que acompanhei sobre o tema."
Bordini explica que essas informações podem ser adquiridas de forma lícita por meio de diversos birôs de serviço disponíveis no mercado. "Ou, se formos pensar no "mercado ilícito", faz muito tempo que ouvimos falar do famoso CD-ROM da Receita Federal sendo comercializado nas ruas do centro de São Paulo ou até mesmo os painéis de consulta vendidos por diversos fraudadores por preços que circulam na casa dos R? 120 por mês, independente do número de consultas."
Outro ponto controverso é sobre a origem dos dados, pois o atacante diz que são de um dos maiores birôs nacionais. "É importante ressaltar que existem campos no conjunto de informações que não existem na estrutura de dados deste birô, o que reforça a teoria que a base é um aglomerado de vários conjuntos de informação que possivelmente pertencem a mais de uma empresa", segundo Bordini.
"Portanto, afirmar que o conteúdo disponibilizado nas amostras é fruto de apenas uma empresa em específico beira o amadorismo, pois os documentos que foram divulgados em sua maioria eram peças de marketing sobre o funcionamento de produtos e serviços."
O especialista chama a atenção para o fato de que os dados "vazam e continuam vazando até o momento e de diversas empresas". A preocupação agora, de acordo com ele, "é saber o que será feito com as nossas informações".
Bordini aconselha atenção com os e-mails, mensagens em aplicativos, SMS e telefonemas suspeitos. Um dos sites que pode ajudar no sentido de identificar contas bancárias abertas em seu CPF bem como chave pix cadastrada é o Registrato do Banco Central (https://www.bcb.gov.br/cidadaniafinanceira/registrato).
"Precisamos ficar atentos as notícias que, em vez de informar, têm sido pautadas no terror e sensacionalismo, gerando mais incertezas e medos e menos informação aos cidadãos. Cabe à imprensa e aos analistas a incumbência apenas de narrar o acontecimento, e não produzir conteúdo sensacionalista", diz Bordini.