Fotos e salários também foram expostos no maior vazamento de dados do país

Segurança da Informação Visualizações: 403

A denúncia feita inicialmente pela empresa apontava que os primeiros dados davam conta apenas do vazamento de CPF, data de nascimento e gênero.

Segundo Marco DeMello, presidente da PSafe, o conteúdo do vazamento, ao qual ele teve acesso, é assustador. “Os criminosos que compram esses dados podem assumir a identidade dessas vítimas, criar dívidas e baixar escrituras em nome delas. Existem vários crimes que podem ser cometidos com essa gama de dados tão completa”, disse o executivo ao Estadão.
 
Inicialmente, havia a suspeita de que a fonte do suposto “maior vazamento de dados” do Brasil seria a empresa Serasa Experian, a quem o banco supostamente pertencia e considerando que, das informações divulgadas, a pontuação de crédito também estava incluída.
 

A companhia, no entanto, já emitiu nota negando as informações. “Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos”.

No primeiro comunicado da PSafe (feito pelo seu laboratório de segurança digital, o dfndr lab), a empresa ressaltou que informações como o CPF, nome completo, data de nascimento e até informações de carros haviam sido vazadas. Por si só, isso já é um problema pois abre a possibilidade de fraudes decorrentes de phishing, um tipo de ataque que usa da engenharia social para roubar informações das vítimas.

 
 
“A essa altura, todos os CPFs brasileiros estão nessa base de dados roubada. Estão lá meus familiares, meus sócios, minha equipe e qualquer coisa que eu pesquiso nos extratos. É assustador”, disse DeMello.

Especialistas em segurança digital afirmam que não há muito o que fazer neste caso, salvo por revisar e reforçar práticas próprias de segurança, a fim de tentar impedir que os dados disponibilizados sejam usados sem o consentimento – ou mesmo o conhecimento – das vítimas.

Fonte: Estadão