E se um sistema ilegal reunisse e disponibilizasse milhões de dados (incluindo nome, CPF, renda, entre outros) de brasileiros por meio de uma assinatura mensal? Isso seria um alívio caso não existisse, mas a verdade é que esse modelo de negócios criminoso (infelizmente) é mais que realidade em território tupiniquim.

Assinatura ilegal de dados

Uma investigação da Folha de São Paulo constatou a existência de diversas páginas que reúnem dados cadastrais de seis instituições do Brasil: CadSus, Receita Federal, Secretaria Nacional de Trânsito (Senatran), Instituto Nacional de Segurança Social (INSSS), Sistema Nacional de Armas (Sinarm) e Boa Vista.

Essas informações são obtidas pelos próprios funcionários dos órgãos, que possuem acesso aos respectivos sistemas. Eles então vendem seus logins ou fazem parcerias com cibercriminosos que, por sua vez, coletam todos estes dados e incorporam em bancos de dados de painéis ilegais.

Feito isso, os malfeitores vendem o acesso ao painel por valores mensais em torno de R$ 200. Quem garantir o plano poderá pesquisar pelo nome completo, RG, CPF, foto, assinatura da CNH, renda aproximada, benefícios sociais e diversos outros dados de milhões de brasileiros. Novos dados são incluídos periodicamente.

Isso por si só já seria um enorme problema. Mas para piorar, essas negociações não ocorrem nas profundezas da deep web — como de costume quando se trata em transações ilegais. Na verdade, os planos são vendidos na camada comum da internet, inclusive, por meio de redes sociais como o Facebook.

Principais riscos

Como resultado de todo esse aparelhamento ilegal, estes painéis permitem o cruzamento de informações e um perfilamento das vítimas. Com isso, os malfeitores podem utilizar os dados para planejar ações criminosas mais elaboradas, tanto no mundo real quanto no universo digital.

A combinação de renda mais o endereço da vítima pode resultar em ataques direcionados e colocar a segurança de determinados grupos em risco. Isso pode ir muito mais além, uma vez que as informações vazadas do Sinarm podem detalhar elementos confidenciais da polícia.

Ilustração dados vazados

Obtenção de dados privados de milhões de brasileiros pode facilitar ações criminosas no país – Imagem: Sora Shimazaki/Pexels

O aumento de golpes também se torna algo preocupante. Se as anunciantes podem utilizar dados para exibir propagandas customizadas, os cibercriminosos podem abusar do perfilamento das vítimas para criar fraudes personalizadas, quem podem ser potencializadas com chatbots e inteligência artificial para ações em massa.

Crime para quem vaza e para quem paga

De acordo com a advogada criminalista Roselle Soglio, a ação criminosa abrange os vendedores dos acessos e os próprios compradores. Ambas as partes podem ser enquadradas nos artigos 153 e 154 do Código Penal, que abordam a divulgação de conteúdo particular e invasão de dispositivos digitais.

Os funcionários públicos que vendem suas credenciais podem ainda responder por crime de peculato. “Nesse caso também incide o crime contra a administração pública. Tem um agravante porque eles deveriam proteger esses dados”, completou Soglio.

Por outro lado, vale lembrar que a Lei Geral de Proteção de Dados (LGPD) determina que as instituições afetadas cumpram com algumas obrigações. No caso de vazamentos, as entidades devem avisar as vítimas sobre os dados comprometidos, informar os riscos relacionados ao evento e auxiliar com dicas para mitigar os prejuízos.

As penalizações para quem descumprir essa legislação pode envolver desde advertência até proibição das atividades relacionadas ao banco de dados afetado. Além disso, a instituição terá de pagar uma multa que pode chegar a até R$ 50 milhões.

O que dizem as empresas

Em resposta à reportagem da Folha, a Polícia Federal confirmou que houve um acesso ao sistema, mas o incidente ocorreu por meio de login indevido e não de uma falha técnica.

O Ministério da Saúde afirma desconhecer as acusações de acesso por meio de logins válidos, mas assim como o INSS, disse que realiza o monitoramento constante para garantir a segurança dos usuários.

Já Receita Federal, Senatran e a empresa privada Boa vista declaram não ter identificado vazamentos de dados em seus sistemas.

Fonte: Folha de S. Paulo

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários