Pexels Dois bancos de dados de brasileiro estão sendo vendidos na internet, segundo a empresa de cibersegurança ISH Tecnologia.
Segundo a companhia, um dos bancos é de Sistema Integrado de Administração de Pessoal (Siape) e está sendo vendido por US$ 600. Esse banco contém dados de um vazamento de 2020 com informações de servidores públicos federais e aposentados.
Com base na publicação do usuário, a empresa afirma ainda que o outro pacote engloba dados do Serviço de Proteção ao Crédito (SPC). Apesar da afirmação, a entidade nega que tenha ocorrido vazamento de seus dados.
"Não é verdadeira a informação da venda de dados pessoais provenientes do SPC", afirma o serviço em nota. "Foram realizadas as análises técnicas para apuração do caso, e o relatório conclusivo indica que os dados pessoais divulgados não possuem origem e correlação com a base de dados do SPC Brasil."
Os dados não passaram por análise da ISH Tecnologia. A empresa não sabe dizer quantas pessoas seriam afetadas pelos pacotes à venda.
Bancos de dados na deep web
As publicações teriam sido feitas no final de junho em um fórum de crimes cibernéticos criado no primeiro trimestre de 2022. Os dados já saíram da dark web e estão na deep web —ou seja, um espaço de acesso mais fácil.
Segundo o diretor de inovação da ISH Tecnologia, Leonardo Camata, é como se os dados estivessem emergindo para uma superfície mais navegável e exposta, como os sites que achamos em uma pesquisa no Google.
"Quando tem um vazamento desse tipo, essa informação vai parar lá na dark web, fóruns mais barra-pesada", afirma Camata. Para acessar a dark web é preciso de tecnologias específicas.
Embora seja usada, em alguns casos, para driblar a censura ou garantir a comunicação de pessoas perseguidas por governos, por exemplo, a dark web também tem comunidades voltadas para atividades ilegais, diz o Pesquisador Adjunto Sênior da Avast, Luis Corrons.
"Ao longo dos anos, testemunhamos como grandes quantidades de informações pessoais foram vendidas na dark web, muitas delas provenientes de violações de dados" afirma.
Na deep ou na dark web, muitos desses fóruns são de difícil acesso e operam por meio de convite. O identificado pela ISH Tecnologia pode ser acessado por qualquer pessoa, segundo Camata.
Na publicação, de acordo com a empresa, os criminosos disponibilizam um canal de contato via Telegram e pedem o pagamento via criptomoedas, para dificultar a rastreabilidade.
"Essas vendas ocorrem por reputação", afirma Camata. Ou seja, o nível de confiança que o vendedor tem naquela comunidade.
O comprador pode ser alguém com pouca familiaridade com tecnologia, mas que tem interesse na informação para aplicar golpes.
"O vazamento de dados não é o final da fraude", afirma ele. Com mais informações, as fraudes ficam mais refinadas. Uma ligação que identifique o CPF e a data de nascimento da vítima, por exemplo, é mais crível do que um email que pede para o usuário clicar em um link.
"O Brasil foi um dos últimos países que adotou uma lei como a Lei Geral de Proteção de Dados", afirma ele sobre o texto aprovado em 2018. A LGPD permite ao cidadão exigir de empresas públicas e privadas informações claras sobre quais dados foram coletados, como estão armazenados e para que finalidades são usados.
Soma-se a isso a vulnerabilidade dos dispositivos. Camata diz que os brasileiros ainda não se acostumaram a aplicar procedimentos de segurança, como pedir verificação em duas etapas em seus aplicativos e usar senhas diferentes para várias contas. "A cultura demora para ser transformada", afirma ele.
Diante do volume de vazamento de dados dos últimos anos, Camata afirma que a melhor precaução é partir do princípio de que qualquer novo contato pode ser malicioso, seja por email, mensagem ou telefonema.
Fonte: com informações da Folha de S.Paulo
