O misterioso vazamento de CPFs, dados de 104 milhões de veículos e 40 milhões de CNPJs

Hoje o mercado foi surpreendido com uma informação divulgada pelo Dfndr – Laboratório de Segurança da PSafe Tecnologia S/A, e divulgado pelo Tecnoblog de que está sendo negociado na dark web um gigantesco banco de dados contendo informações de milhões de CPFs (não informada a quantidade exata), além de dados de 104 milhões de veículos e 40 milhões de CNPJs de empresas.

No caso dos dados dos veículos o Dfndr informou que os bancos de dados vazados contém informações do “número de chassi, placa do veículo, município, cor, marca, modelo, ano de fabricação, cilindradas e até mesmo o tipo de combustível utilizado”. Já sobre os CNPJs das empresas as informações são sobre a razão social, o nome fantasia e data de fundação.

Somente uma empresa no Brasil detém a guarda desses dados: o Serpro. Porém a informação divulgada pelo laboratório da PSafe não aponta que tais informações que circulam para eventual venda na dark web, tenham chegado lá após algum ataque aos bancos de dados da estatal. Nem mesmo o Serpro reportou ter sido vítima recentemente ou em sua história ( já são mais de 56 anos), algo tão significativo assim.

Convém lembrar que a Lei Geral de Proteção de Dados obriga as empresas a informarem vazamentos de informações dos seus bancos de dados e notificar os portadores desses dados sobre o episódio. Como a estatal não informou nada desse gênero, pelo menos em público, não parece ter sido o caminho pelo qual alguém obteve as informações e agora está tentando vendê-las. Da mesma forma, não há nenhuma movimentação aparente da Autoridade Nacional de Proteção de Dados (ANPD), nessa direção.

Entretanto, uma empresa de segurança informa que os dados estão lá, de forma ilícita, para quem de alguma forma queira lucrar com eles. E o estranho é que nem a ANPD, o Serpro, a Receita Federal ou o Denatran, tenham acionado a Polícia Federal para investigar o assunto. Pelo menos não há informação oficial de algo também nessa direção.

Até porque, hoje o Serpro é uma empresa estatal que resolveu explorar atividade econômica de empresa privada e tem contado com serviços delas para cumprir essa meta. Na contramão do que prega a cartilha liberal do Ministério da Economia, defendida inúmeras vezes pelo ex-secretário das privatizações, Salim Mattar.

Então, eventual vazamento de dados, que não se sabe exatamente quando teria ocorrido, ou se ocorreu, pode até ter sido cometido internamente por terceirizados. Não é crível que um funcionário tenha saído da empresa carregando tudo em algum equipamento de armazenamento.

Ao tomar conhecimento da notícia, procurei o laboratório que divulgou a informação. Informalmente a PSafe explicou que ainda está tentando investigar de onde teria partido o vazamento e a autoria desse crime. Também informei a Comunicação do Serpro sobre a notícia e, para variar, nada. Talvez ainda venha uma nota sugerindo que o Capital Digital produziu uma “fake news”. Via de regra a Comunicação desta empresa se presta a esse papel, que é mais fácil do que informar.

A PSafe é uma empresa idônea no mercado. Tanto, que em maio do ano passado anunciou uma parceria com o Ministério da Justiça para “conscientizar a população a respeito de crimes cibernéticos e fake news que circulam na Internet.”

*Enfim, segue o barco.