Aproximadamente um mês após identificar uma base contendo dados de mais de 223 milhões de CPFs, a PSafe detectou um possível novo incidente de segurança na deepweb. Trata-se de uma base de dados que potencialmente põe em risco informações de mais de 100 milhões de contas de celular.
A equipe da PSafe entrou em contato com os cibercriminosos e solicitou uma amostra do banco de dados oferecido para venda com objetivo de verificar a veracidade das informações detectadas pela plataforma dfndr Enterprise.
“Obviamente não compactuamos com a venda de informações sigilosas e jamais compraríamos um banco de dados ilegal. A amostragem que o criminoso nos disponibilizou para acesso temporário, continha informações que pudemos verificar”, esclarece Marco DeMello, CEO da PSafe.
Os criminosos alegam que o banco de dados reuniria número de celular, nome completo do assinante da linha e endereço de quase metade da população do país. Eles informaram ainda que teriam sido obtidos a partir de duas companhias telefônicas brasileiras, Vivo e Claro.
Procuradas pela reportagem da Security Report, as duas operadoras negam qualquer tipo de vazamento de dados. A nota oficial da Vivo diz:
“A Vivo reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade.”
A Claro segue a mesma linha e responde à uma reportagem postada ontem (10) no NeoFeed sobre o possível incidente.
“Sobre o caso citado, a Claro informa que não identificou vazamento de dados. E, segundo informou a reportagem, a empresa que localizou a base não encontrou evidências que comprovem a alegação dos criminosos.
Além disso, como prática de governança, uma investigação também será feita pela operadora.
A Claro investe fortemente em políticas e procedimentos de segurança e mantém monitoramento constante, adotando medidas, de acordo com melhores práticas, para identificar fraudes e proteger seus clientes”.
DeMello pede cautela sobre qualquer conclusão precipitada: “Não podemos tomar como evidência as alegações de um cibercriminoso. As autoridades já foram comunicadas, temos um relacionamento próximo com a ANPD. Estamos à disposição para colaborar nas investigações que levem à identificação dos responsáveis. Nosso papel nessa operação é bem claro: identificar, apurar e alertar”, completa.
O executivo diz ainda que a maneira com que os dados foram obtidos não são claras para a equipe da PSafe. “O que podemos afirmar é que os vazamentos de dados empresariais têm sido cada vez mais frequentes e os colaboradores em home office têm sido o principal alvo dos cibercriminosos. É uma briga injusta para as empresas, basta um dispositivo desprotegido e uma ameaça bem sucedida para que um vazamento ocorra. A proteção aos dados precisa ser ativa em tempo integral”, explica.
As bases verificadas pela empresa estavam à venda pelo valor de 0.026 Bitcoins cada, o que seria equivalente a pouco mais de R$6.200. DeMello explica o porquê dessas transações serem realizadas por meio da moeda virtual: “A preferência pelas transações em Bitcoins está relacionada a uma dificuldade maior de rastrear a origem das movimentações. O cibercriminoso muitas vezes nem mesmo tem o banco de dados que alega ter e aplica golpes em interessados, que pagam o valor requerido por bancos de dados gigantescos, mas que não entregam nada do que se propõe”, finaliza o executivo.
Em nota, a Autoridade Nacional de Proteção de Dados informou que está tomando todas as providências cabíveis para apurar tecnicamente as informações sobre o incidente envolvendo o vazamento de dados pessoais.
“A Autoridade Nacional de Proteção de Dados (ANPD) informa que está apurando tecnicamente as informações sobre o incidente envolvendo o vazamento de dados pessoais.
A ANPD está tomando todas as providências cabíveis. A autoridade oficiou outros órgãos, como a Polícia Federal, a empresa que noticiou o fato e as empresas envolvidas, para investigar e auxiliar na apuração e na adoção de medidas de contenção e de mitigação de riscos relacionados aos dados pessoais dos possíveis afetados.
A ANPD atuará de forma diligente em relação a eventuais violações à Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), e promoverá, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos.”
