ANPD enfim se pronuncia sobre vazamento de 220 milhões de CPFs | Antivírus e Segurança | Tecnoblog

A ANPD (Autoridade Nacional de Proteção de Dados) se manifestou nesta quarta-feira (27) sobre o vazamento que afetou 223 milhões de CPFs e 40 milhões de CNPJs. A entidade, criada para cumprir a LGPD (Lei Geral de Proteção de Dados Pessoais) e aplicar punições para quem expõe dados pessoais, afirma estar realizando uma investigação a respeito.

CPF (Imagem: Emerson Alecrim/Tecnoblog)

Em comunicado ao Tecnoblog, a ANPD diz que está apurando tecnicamente informações sobre o caso, e vai cooperar com os órgãos de investigação competentes para descobrir:

Feito isto, a ANPD vai sugerir as medidas cabíveis previstas na LGPD para “a responsabilização e a punição dos envolvidos”, junto aos demais órgãos competentes.

A lei de proteção de dados prevê diversos tipos de punição, desde uma advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões. Vale lembrar, no entanto, que a ANPD ainda não tem o poder de multar: isso só será possível a partir de agosto de 2021.

Diversos veículos da imprensa, incluindo o Tecnoblog, Estadão, Exame e El País, haviam entrado em contato com a ANPD desde pelo menos a última segunda-feira, mas a entidade não dava qualquer resposta.

O vazamento de CPFs, cujos detalhes foram revelados com exclusividade pelo Tecnoblog, inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, classe social e diversas outras informações de 37 categorias diferentes. Uma amostra desse arquivo era oferecida de graça em fóruns na internet aberta e na dark web. Além disso, uma base com 40 milhões de CNPJs trazia dados como score de crédito, dívidas e lista de sócios.

Como havia informações relacionadas à Serasa Experian nos dois vazamentos, a empresa foi notificada pela Senacon (Secretaria Nacional do Consumidor) e pelo Procon-SP para prestar esclarecimentos. Ela garantiu várias vezes que não é a fonte dos dados, e afirmou estar “em contato com os reguladores para auxiliá-los em quaisquer dúvidas”.

Em posicionamento, a Serasa diz:

Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.

Este caso também está sendo analisado pelo MPDFT (Ministério Público do Distrito Federal e Territórios); enquanto o MPF-SP (Ministério Público Federal em São Paulo) confirma ter recebido representação a respeito do assunto, que será distribuído a um procurador em breve.

Para Diogo Moyses, do Idec (Instituto Brasileiro de Defesa do Consumidor), “este caso pode se tornar uma prova de fogo para o ecossistema de proteção de dados, não só a ANPD, como também a relação com outros órgãos de defesa do consumidor e de investigação criminal”.

Diogo, que é coordenador do programa de Telecomunicações e Direitos Digitais do Idec, também diz ao Tecnoblog: “pela importância do caso, pela amplitude e pela quantidade de dados vazados, este é um caso que deve ser levado às últimas consequências”, sob risco de por em descrédito o ecossistema de proteção de dados “antes mesmo de ser implementado como um todo”.

Vazamento de dados expôs 223 milhões de CPFs e 40 milhões de CNPJs; Serasa Experian nega ser a fonte das informações

Vazamento inclui CPF, foto de rosto, endereço, telefone, e-mail, score de crédito, salário e mais; Serasa nega ser fonte dos dados

Arquivo inclui dados de veículos como placa, marca, modelo e chassi; outro vazamento expôs 220 milhões de brasileiros

Vazamento expôs dados como CPF, e-mail e telefone; especialistas recomendam que brasileiros monitorem transações bancárias

Vazamento inclui detalhes de 40 milhões de CNPJs como score de crédito e dívidas; Serasa nega ser fonte dos dados

Comentários com a maior pontuação

Uma hipótese que poderíamos considerar seria no fato dos servidores dos órgãos não terem aplicado a segurança de dados devida (Muitos sites por exemplo, nem tinham HTTPS no domínio).

Outra hipótese seria no app da Caixa que criaram para o auxílio, conseguiram derrubar alguns meses atrás por causa de DDoS.

Não podemos descartar essa possibilidade. Porque pra conseguir os dados de todos nós, além de quem já faleceu, é muito estranho

“Em comunicado ao Tecnoblog, a ANPD diz que está apurando tecnicamente informações sobre o caso, e vai cooperar com os órgãos de investigação competentes […]; Feito isto, a ANPD vai sugerir as medidas cabíveis previstas na LGPD para “a responsabilização e a punição dos envolvidos”, junto aos demais órgãos competentes.”

Aparentemente não vai ficar tão impune quanto imaginei.

Se conseguiram solicitar o pedido de auxilio no nome de famosos, imagina pra nós meros mortais.

Para que serve aplicar uma multa de 2% do faturamento se vão limitar em 50 milhões? Uma empresa que fature 100 bilhões vai pagar o mesmo que fature 1 bilhão…

O principal foi a ANPD, mas existem outros vetos no texto aprovado pelo presidente Michel Temer que seriam importantes

Autoridade Nacional de Proteção de Dados pode ser vetada, mas especialistas querem que o texto seja aprovado na íntegra

Se aprovada, a Lei Geral de Proteção de Dados Pessoais irá finalmente fazer o Brasil ter uma legislação específica para proteger as informações dos cidadãos

Saiba o que fazer se algum e-mail ou senha vazou na Internet e como se proteger em caso de violações

Entenda o que é a LGPD, a Lei Geral de Proteção de Dados Pessoais, sobre como informações de brasileiros devem ser protegidas

Texto retirado de https://tecnoblog.net/406277/anpd-se-pronuncia-sobre-vazamento-de-220-milhoes-de-cpfs/