Novo vazamento expõe mais de 100 milhões de contas de celular do Brasil

Dias depois de revelar megavazamento de CPFs, empresa de cibersegurança PSafe encontra dados sensíveis de operadoras de telefonia na dark web

Por Luiz Felipe Castro SEGUIR SEGUINDO Atualizado em 12 mar 2021, 16h03 - Publicado em 10 fev 2021, 13h51

Procon-SP recebeu mais de 2 mil queixas sobre aparelhos celulares em 2012 — Vivo e Claro não detectaram invasão, mas abriram investigação interna (Sebatião Moreira/EFE/VEJA)

O Brasil está sob ataque constante de hackers. Dias depois revelar o maior vazamento de dados pessoais já registrado no país, que incluiu 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, a a empresa de cibersegurança PSafe informou nesta quarta-feira, 10, que mais de 100 milhões de contas de celular de brasileiros foram encontradas na dark web. As informações são do site NeoFeed e foram confirmadas por VEJA junto à PSafe.

A empresa com base no Brasil e nos EUA montou um laboratório, o dfndr lab, que vem descobrindo vazamento de proporções gigantescas, evidenciando a vulnerabilidade das empresas e órgãos governamentais. As 102.828.814 de contas de celular vazados na dark web incluem informações sensíveis como tempo de duração das ligações, número de celular, e outros dados pessoais como endereço e telefone.

O carioca Marco DeMello, CEO e fundador da PSafe, disse que ainda hoje enviará um detalhado documento com a investigação realizada para a Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao Governo Federal. Dentre as vítimas, estão o presidente Jair Bolsonaro e também os apresentadores globais William Bonner e Fátima Bernardes. No caso de Bolsonaro, há detalhes como valor da conta, volume de minutos gastos por dia, o número do celular, filiação, data de nascimento e CPF.

Os relatórios apontam para vazamento de dados das contas de duas operadoras de telefonia não identificadas. Os dados são vendidos na dark web, a parte mais sinistra da deep web, na qual os domínios são voltados para práticas criminosas como tráfico de drogas, exploração infantil, serviços de assassinos de aluguel, pedofilia e os mais diversos crimes virtuais.

Continua após a publicidade

A Psafe conseguiu contato com o cibercriminoso, que não é o mesmo dos vazamentos de CPF e CNPJ. Ele alegou ter extraído os dados dos sistemas da Vivo (57, 2 milhões de registros) e da Claro (45, 6 milhões), mas não foi possível descobrir a identidade do hacker, justamente pelo fato de a conversa ter ocorrido na zona de difícil rastreamento.

Tanto a Vivo quanto a Claro disseram não ter identificado nenhum tipo de vazamento, mas dizem cumprir rígidos controles de acesso a dados e que investigações internas serão abertas. Marco De Mello informou que hacker é estrangeiro, vive fora do Brasil, e está vendendo cada registro por 1 dólar, por meio da criptomoeda bitcoin. A PSafe informou que enviará uma nota oficial sobre o assunto ainda nesta quarta-feira.

Continua após a publicidade

No fim de janeiro, a PSafe revelou que detectou a divulgação indevida de 40 milhões de CNPJs de empresas nacionais, além de 222 milhões de CPFs – maior que toda a população brasileira, pois incluía documentos de pessoas mortas –, e outras informações valiosas. Na ocasião, a A Psafe também conseguiu contato com o cibercriminoso responsável, que alegou ter extraído os dados do sistema da Serasa Experian.

O Serasa diz ter realizado uma investigação interna e nega ser a origem do vazamento. “Apesar das investigações detalhadas conduzidas até o momento, não há evidências de que nossos sistemas tenham sido comprometidos”, informou em nota. O caso, tratado como gravíssimo pelo presidente do Superior Tribunal Federal, Luiz Fux, vem sendo investigado pela ANPD.