A Serasa Experian, conhecida por seu papel na análise de crédito, enfrentou acusações após a exposição maciça de dados que ocorreu em 2021. Na época, a notícia de que informações de 223 milhões de CPFs, nomes, datas de nascimento, endereços, e-mails e telefones estavam circulando na dark web deixou a população em alerta.
Um hacker comercializava informações associadas a essas pessoas. A Serasa Experian, responsável por armazenar esses dados, inicialmente negou o incidente, mas depois a verdade veio à tona.
Embora tenha negado que o vazamento tenha ocorrido em seus sistemas, a empresa admitiu que os dados podem ter sido obtidos de fontes externas, como bancos ou empresas de telefonia. Essas informações estavam sendo comercializadas por uma quantia significativa na dark web, gerando preocupações sobre a segurança dos dados pessoais dos brasileiros.
Como ocorreu o vazamento de dados?
Inicialmente, foi divulgado um vazamento de 223 milhões de CPFs, contendo principalmente nome completo, data de nascimento e gênero. Esse arquivo foi disponibilizado gratuitamente em um fórum, e na época.
No mesmo fórum, um hacker ofereceu uma base mais abrangente com informações adicionais sobre esses 223 milhões de indivíduos. Essa base incluía RG, estado civil, lista de parentes, nível de escolaridade, poder aquisitivo, status no INSS e outros detalhes, totalizando 37 categorias de informações.
Entretanto, esses dados mais detalhados não estavam disponíveis de forma gratuita. Os preços variavam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade de informações fornecidas. As transações eram exclusivamente realizadas por meio de bitcoin, visando dificultar o rastreamento.
Ambos os vazamentos, tanto o gratuito quanto o pago, originaram-se de uma mesma fonte, evoluindo ao longo do tempo. De acordo com análises, essas bases tornaram-se mais abrangentes, destacando-se a inclusão do gênero "intersexo" associado aos mesmos 223 milhões de CPFs.
Esse episódio foi apenas o prelúdio de um cenário mais complexo e sério. Ao longo do ano de 2021, tornaram-se frequentes outros vazamentos, sendo descoberta uma nova base de 223 milhões de CPFs em março daquele ano.
PF e STF no caso dos vazamentos de dados
A resposta das autoridades não demorou a chegar após o vazamento de dados. A Polícia Federal entrou no caso, iniciando uma investigação por solicitação da Autoridade Nacional de Proteção de Dados (ANPD).
O Supremo Tribunal Federal também tomou medidas, solicitando a abertura de um inquérito para investigar o vazamento de dados de autoridades, a pedido do ministro Alexandre de Moraes.
No despacho, Moraes destacou que a comercialização de dados pessoais e sigilosos de membros do STF "atinge diretamente a intimidade, a privacidade e a segurança pessoal de seus integrantes".
Em 19 de março, a Polícia Federal deflagrou a Operação Deepwater, destinada a investigar o megavazamento. Durante a operação, um hacker de Uberlândia (MG), suspeito de divulgar diversas informações sensíveis relacionadas aos milhões de CPFs, foi preso. Mandados de busca e apreensão também foram cumpridos em Petrolina (PE).
"Após diversas diligências, a Polícia Federal identificou o suspeito pelos delitos de obtenção, divulgação e comercialização dos dados, além de um segundo hacker que estaria vendendo os dados por meio de suas redes sociais.
O hacker detido é conhecido como Marcos Roberto Correia da Silva, usando o pseudônimo Vandathegod. Além do envolvimento no vazamento, ele é investigado por participar de um ataque ao sistema do Tribunal Superior Eleitoral (TSE) durante o primeiro turno das Eleições 2020. No entanto, a Polícia Federal também está mirando outro hacker, conhecido como JustBR, que comercializou os dados em um fórum online.
Denúncias e investigações independentes
A empresa de segurança digital Psafe e outras investigações independentes confirmaram que o vazamento foi real e atribuíram a responsabilidade à Serasa Experian. Esse episódio levantou debates sobre a segurança cibernética e a proteção dos dados pessoais em um mundo cada vez mais digitalizado.
O vazamento de dados da Serasa Experian vai além das preocupações teóricas. Com informações tão sensíveis em circulação, as vítimas enfrentam riscos reais, desde fraudes financeiras até crimes de sequestro. A situação é grave, e medidas urgentes são necessárias para minimizar os danos.
Comercialização de dados é ilegal
A comercialização de dados é uma prática ilegal no Brasil, conforme estabelecido pela Lei Geral de Proteção de Dados (LGPD). Entretanto, a Serasa Experian, com seu modelo de negócios baseado na comercialização massiva de dados, viu-se no epicentro desse vazamento colossal.
Se você foi afetado por esse vazamento, é crucial tomar medidas para protegê-se. Monitore seu CPF e contas bancárias regularmente, altere suas senhas com frequência, ative a autenticação de dois fatores e seja cauteloso ao compartilhar informações online.
Quem pode ser indenizado pelo vazamento de dados do Serasa?
O cidadão, como cliente, tem respaldo legal, tanto pelo Código de Defesa do Consumidor quanto pelo Código Civil, para buscar indenização por danos causados por empresas. No entanto, diante dos frequentes vazamentos de dados, surge a questão: é possível buscar indenização judicial?
No Brasil, incidentes de segurança aumentaram 493% em apenas 12 meses, segundo a Association for Computing Machinery (ACM).
No entanto, a viabilidade de processar uma empresa por vazamento de dados não é tão simples. A legislação brasileira, incluindo a Constituição Federal, o Código Civil, a Lei 12.965/14 (Marco Civil da Internet) e o Código de Defesa do Consumidor, prevê a proteção da privacidade e o direito à reparação de danos.
O Instituto SIGILO moveu uma ação civil pública contra a Serasa Experian e a ANPD devido ao vazamento de dados de 223 milhões de CPFs e 40 milhões de CNPJs. O processo busca uma multa de R$ 200 milhões e indenização de R$ 15 mil para cada titular afetado.
A Serasa nega ser a fonte do vazamento, mas o Instituto a acusa de vender sua base de dados.
A ANPD está incluída no processo devido à incerteza sobre o envolvimento da Serasa. O SIGILO exige medidas como pagamento de danos morais coletivos, indenização individual, notificação aos titulares afetados e remoção dos dados da internet.
Quanto à ANPD, o processo argumenta que, como órgão vinculado à Presidência da República e responsável pela fiscalização da LGPD, não pode se manter inoperante diante da violação à legislação. A ação exige que a ANPD notifique a Serasa, realize uma auditoria técnica para avaliar a falha de segurança, e tome medidas administrativas para apurar eventuais atos ilícitos. O processo, registrado na 22ª Vara Cível Federal de São Paulo, busca responsabilizar tanto a Serasa quanto à ANPD pelo vazamento de dados.
A busca por indenização por vazamento de dados exige uma análise caso a caso. O entendimento judicial pode variar, e é essencial demonstrar o dano efetivo para obter compensação. A LGPD, em vigor há pouco mais de um ano, também influenciará a jurisprudência ao longo do tempo. Se você foi prejudicado, consulte um advogado para orientações específicas ao seu caso.
Recomendações para proteger seus dados
Além disso, todos devem adotar práticas seguras online. Evite senhas simples e repetidas, forneça informações pessoais apenas quando necessário, mantenha seus dispositivos atualizados e utilize software antivírus e antimalware confiável.
A situação é desafiadora, mas com precaução e ações assertivas, é possível proteger nossos dados em um ambiente digital cada vez mais complexo.
Siga o Ache Concursos no G o o g l e News e receba alertas e as principais notícias sobre concursos, empregos, estágios, governo e benefícios sociais.
😕 Poxa, o que podemos melhorar?
😃 Boa, seu feedback foi enviado!
✋ Você já nos enviou um feedback para este texto.