• Marcelo Ramos

Vazamento de 220 milhões de CPF. Como sou afetado e o que devo fazer?

Em 19/01/2021, foi divulgado o vazamento de um banco de dados contendo 223 milhões de CPFs. Imediatamente algumas pessoas se manifestaram céticas, pois o número de CPFs vazados é maior que a população brasileira, 221,8 milhões. Entretanto, a base contém dados de pessoas já falecidas. Além disso, uma auditoria do TCU de 2020 constatou que o Brasil possui 12,5 milhões de CPFs ativos a mais do que a população total.


O preocupante aqui é que pelo que se constatou até o momento, o vazamento não consiste apenas de CPF e nome. Informações como gênero, data de nascimento, nome do pai e mãe, estado civil, e-mail, escolaridade, endereço, benefícios sociais (INSS, Bolsa Família), renda, nota de crédito (indicativo se a pessoa é um bom pagador), carteira de trabalho, ocupação, data de admissão, FGTS, título de eleitor.


Estão disponíveis também fotos de rosto, informações do imposto de renda pessoa física (banco, agência e lote da restituição, situação cadastral), dados cadastrais em operadoras de telefonia (número de telefone, plano, operadora, data da instalação), informações do LinkedIn, vínculo familiar (relacionamento entre CPFs como pai, mãe, cônjuge, filhos, avós, tios etc), pessoas que moram na mesma casa; e, se você tem alguma dívida, as informações sobre ela (situação, credor, tipo, valor, se está em cobrança judicial).


Para empresários, informações como a participação societária, a razão social, o nome fantasia da empresa, o CNPJ e a data de entrada na sociedade. Para servidores públicos, o cargo, lotação, renda, vínculo etc.

Além dos CPFs a base contém dados de 104 milhões de veículos – dados como número de chassi, placa, município, cor, marca, modelo e ano de fabricação – e dados de 40 milhões de empresas – CNPJ, razão social, nome fantasia e data de fundação.


Que base é essa?

Ainda não se sabe a origem dos dados, nem em que período eles foram obtidos. Análise não identificaram CPFs de pessoas nascidas em 2020, o que indica que a base deva ser anterior a 2020.


Normalmente os “vendedores”, para aumentar a credibilidade, informam a origem da base de dados: uma seguradora, um banco etc. Neste lote não há esta informação. Surgiram rumores de que a fonte dos dados teria sido a Serasa, que emitiu comunicado negando ser a fonte dos dados e citando que as bases “incluem elementos que nem mesmo temos em nossos sistemas”.


Como estes dados estão circulando?

Uma parte dos dados está circulando abertamente na internet. Um arquivo contém CPF, nome, sexo e data de nascimento e contemplam pessoas nascidas até 2019.


O outro, completo, está à venda na dark web (servidores que não são indexados por ferramentas de busca como o Google e que para serem acessados normalmente precisam de softwares específicos). Os dados são comercializados em bitcoins e podem ser adquiridos apenas em lotes com valores que variam de US$ 0,075 a US$ 1 por CPF. Para comprovar a autenticidade dos dados, arquivos com 1.000 registros estão sendo divulgados gratuitamente na dark web.


Quais cuidados devem ser tomados?

Infelizmente não há nada que possa ser feito quanto ao vazamento em si. Se os seus dados estavam nesta base, eles estão em poder dos criminosos. Entretanto, você pode se proteger de tentativas de uso destas informações.

  • O phisinhg será muito utilizado em golpes. Desconfie de qualquer mensagem recebida. Seja ela um SMS com um link, uma mensagem no WhatsApp ou Messenger ou mesmo um e-mail. A mensagem conter seus dados pessoais como CPF, nome, informações financeiras, endereço etc não são indicativos de que o remetente é confiável. Indicam apenas que ele teve acesso a estas informações. Se achar necessário falar com quem enviou a mensagem, ligue para o telefone corporativo. Não para o que está na mensagem, mas para o que você possui, se já for um prestador de serviço, ou o do site na internet.

  • Monitore detalhadamente as movimentações de sua conta bancária. Caso note algo estranho, procure imediatamente seu gerente ou SAC.

  • Monitore detalhadamente as compras em seus cartões de crédito. Alguns cartões permitem que você ative a recepção de um SMS a cada movimentação. Se ainda não o fez, faça e fique de olho.

  • Fique atento a boletos de cobrança recebidos. Muitos golpes são aplicados enviando um boleto para a pessoa e esperando que ela pague, seja por descuido, seja por acreditar no discurso apresentado como motivo da cobrança. Analise cuidadosamente qualquer cobrança que receber. Novamente, entenda que o fato dela conter todos os seus dados não necessariamente indica que ela é uma cobrança verdadeira.

O principal cuidado a ser tomado é se informar. Um vazamento desta proporção não deve ser tratado apenas dentro do ambiente corporativo. Além de traçarem planos de comunicação para os colaboradores, os profissionais de segurança e TI devem divulgar informações sobre o problema e as ações que devem ser adotadas para seus círculos familiares e de amizade.