Às vésperas das sanções da LGPD entrarem em vigor, um novo vazamento que afeta diretamente o público brasileiro pode ter comprometido 13 mil documentos. Entre os dados comprometidos, estão RGs, CPFs e carteiras de habilitação de um total de 227 milhões de usuários nacionais. Dois cibercriminosos, identificados como “YZK” e “Sr_Siriguejo”, colocaram os dados à venda em um fórum, junto a uma amostra com informações de 2,5 milhões de pessoas.
Segundo informações da empresa Syhunt, em uma primeira postagem nesta última terça-feira (27), o hacker acabou colocando a venda 13 mil fotos de documentos de identidade, CPF, CNH e um número não revelado de fotos de cartões de crédito.
Um outro hacker, aparentemente atuando isoladamente, também obteve cópia do mesmo extenso conjunto de documentos, que totaliza 1.2gb, e o colocou a venda no mesmo fórum em uma thread separada alguns dias antes. A origem e o ano das fotos dos documentos não é revelada pelos cibercriminosos. Uma foto fornecida como amostra apresenta uma mulher segurando sua carteira de identidade que teria sido emitida em 2011 no Estado de São Paulo.
No último domingo (26), em uma outra postagem, o criminoso pôs a venda informações pessoais sobre 227 milhões de brasileiros atribuídos pelo hacker como sendo do DETRAN/DF e obtidos em 2019. Dados como número de CPF, nome completo, data de nascimento, nome da mãe, sexo, se estaria vivo ou não e endereço residencial completo. A base completa totaliza 37,7 GB.
O Syhunt explica ainda que essas informações provavelmente já haviam sido colocadas a venda em “megavazamentos anteriores”, mas que esta seria a primeira vez que nomes de mães teriam sido compilados em forma de amostra grátis. Como a empresa relembra, o “nome da mãe” é muito valioso: costuma ser solicitado em etapas de validação de serviços online, uma informação que poderia facilitar o trabalho de um cibercriminoso.
A redação da Security Report procurou o Detran do DF para comentar o caso e disponibiliza o posicionamento na íntegra:
“A Diretoria de Tecnologia da Informação e Comunicação não encontrou nenhum registro de incidente no ano de 2019 sobre o referido vazamento. Além disso, o Detran não possui 227 milhões de registros pessoais em sua base de dados, o que indica que os dados podem ser referentes a ataques a outras instituições”.
