Várias dúvidas surgiram após o vazamento de 223 milhões de CPFs, entre elas: como saber se meu documento foi vazado? O desenvolvedor Allan Fernando resolveu ajudar criando o site Fui Vazado, que permite conferir se seus dados pessoais – como nome completo, score de crédito, salário e foto de rosto – foram expostos. Há outra ferramenta que permite consultar se sua empresa está entre os 40 milhões de CNPJs que também foram afetados.
Site permite consultar se CPF foi vazado (Imagem: Reprodução/Fui Vazado)
No site Fui Vazado, você insere seu CPF e data de nascimento, e verifica se seus dados fazem parte do vazamento. Devido à alta demanda, talvez você se depare com o erro 524 de timeout.
Allan garante que não guarda o CPF e a data de nascimento inseridos pelos usuários para fazer a consulta: “eu não fiz nenhum sistema de log, e os únicos dados que tenho sobre os acessos são os que são gerados pela CloudFlare”, informa o desenvolvedor ao Tecnoblog.
Vale lembrar que a ferramenta não revela os dados em si que foram expostos no vazamento, apenas as categorias em que você foi afetado: por exemplo, seu telefone e endereço podem ter vazado, mas não a foto de rosto e informações sobre dívidas.
Site mostra categorias em que seus dados vazaram (Imagem: Reprodução/Fui Vazado)
“Esse site tem a exclusiva finalidade de servir de consultar para que todos afetados pelo vazamento saibam se seus dados foram vazados e quais foram”, explica Allan na página do projeto. “Os únicos dados armazenados são CPF, nome completo, data de nascimento, sexo/gênero e uma lista de 37 itens.”
Vale lembrar que existem dois vazamentos distintos, ambos envolvendo 223 milhões de CPFs. O primeiro deles inclui apenas o CPF, nome, data de nascimento e gênero; ele estava sendo oferecido de graça na internet.
Por sua vez, o segundo vazamento – cujos detalhes foram divulgados com exclusividade pelo Tecnoblog – é bem mais completo e está à venda. Ele traz dados sobre e-mail, telefone, endereço, ocupação, score de crédito, situação cadastral na Receita Federal, fotos de rosto, entre outros; são 37 categorias no total. O arquivo inclui a lista dos 223 milhões de CPFs afetados, mais uma prévia gratuita dos dados, e isso está circulando na internet.
Allan usou os dados do vazamento menor, mais a prévia gratuita do vazamento maior, para criar o site Fui Vazado. É uma iniciativa semelhante ao Have I Been Pwned, que notifica sobre senhas expostas.
Site permite consultar se CNPJ está no vazamento (Imagem: Reprodução/Syhunt)
Felipe Daragon, fundador da empresa de segurança Syhunt, criou uma forma de verificar se o CNPJ de uma empresa está entre os 40 milhões que vazaram. Aqui também há dois casos distintos, mas conectados: o primeiro vazamento traz o nome fantasia e data de fundação; o segundo inclui dados sobre dívidas, score de crédito e mais.
A consulta pode ser feita através do site BLB20 LeakCheck; Daragon apelidou o vazamento de BLB20 (Big Leak do Brasil 2020). Nele, é necessário inserir o número do CNPJ e algumas informações adicionais para garantir que quem está fazendo a checagem é a empresa correspondente. “Apenas o responsável pelo CNPJ pode solicitar um relatório”, avisa a página.
Daragon diz ao Tecnoblog que processou cerca de 50 GB de dados e mapeou exatamente o que vazou por CNPJ, conseguindo gerar um relatório em segundos. Ele também analisou os dados de CPF, mas preferiu seguir somente com a checagem de CNPJ (com validação) devido a receio jurídico.
Esse cartãozinho azul com o número do CPF foi extinto. Se você tem um, está com uma relíquia nas mãos (Imagem: Paulo Higa/Tecnoblog)
O site Fui Vazado pode criar algum problema jurídico? Provavelmente não, porque ele oferece uma consulta gratuita aos dados sem revelá-los, conforme explicam ao Tecnoblog os advogados Adriano Mendes e Luiz Augusto D’Urso, ambos especialistas em direito digital.
“Se ele justificar esse site como um todo baseado em um legítimo interesse da LGPD, ele consegue fazer isso com um acesso a dados pessoais de pessoas físicas”, explica Mendes. Não seria permitido guardar quem solicitou a consulta aos dados, e eles não poderiam ser utilizados para outro fim.
“Mas isso por si só não é uma infração à LGPD, porque ele vai estar baseado numa estrutura de legítimo interesse – é o nome da base legal”, afirma o advogado. Isso vale tanto para pessoa física (CPF) quanto para pessoa jurídica (CNPJ).
A restrição seria caso ele queira “vender algum serviço pago ou tiver alguma finalidade econômica sobre esse banco de dados”, diz Mendes, porque dependeria de uma prévia autorização ou contrato.
Luiz Augusto D’Urso acredita que um serviço como o Fui Vazado está dentro da legalidade, por se tratar de uma ferramenta de pesquisa que acessa um banco de dados que já foi vazado, só dando o resultado para o usuário que consultar se o dado dele está no meio.
“Ele não está vendendo nenhum serviço relacionado a CPF, está distribuindo gratuitamente uma pesquisa na internet nos bancos de dados vazados… ele só faz a análise da informação e entrega para a pessoa, se teve dado vazado ou não”, explica D’Urso ao Tecnoblog. “Não vejo processo nenhum contra ele.”
Vou colocar meu CPF num site para ser vazado e saber se fui vazado.
hahaha foi exatamente o que eu pensei.
O CPF é o de menos, é uma das coisas mais fáceis de se descobrir, qualquer Diário Oficial vai ter isso, talvez várias vezes até.
Isso não quer dizer que justifique vc tratar um dado único seu como se fosse qualquer coisa.
As pessoas normalizaram o dar o CPF na farmácia.
Alguns anos atrás tinha um site que tu colocava o nome da pessoa e aparecia CPF, idade, endereço, parentes e vizinhos. Testei com 8 pessoas e todas deu certo.
Inocência achar que tudo já não tá na internet.
Faz o que tu quiser.
Super seguro
Na DW existem 2 arquivos “simplificados”. São arquivos TXT com 30GB e 15GB de tamanho respectivamente. Esse serviço do site “FuiVazado” provavelmente foi construído em cima desses 2 arquivos.
O primeiro arquivo, chamado “Auxiliar de dados - PF.txt”, é uma lista que contém apenas o número do CPF, e 37 colunas preenchidas apenas com “x” ou “o”, indicando que aquele CPF tem ou não tem tal informação.
Por exemplo: Coluna 05 é “Mosaic”. Se para um determinado CPF a coluna 5 estiver com “o”, significa que no arquivo completo existem dados do Mosaic para aquele CPF. Se estiver com “x”, significa que para esse CPF não tem.
O segundo arquivo, chamado “JBR_PF.txt” tem CPF, Nome Completo, Sexo e Data de nascimento.
O arquivo “quente” mesmo, que tem os dados, eu ainda não consegui achar.
Por enquanto são só essas amostras ai de gente “dizendo” que tem a informação, mas mostrar a informação mesmo, ninguém mostra. Chego até a estar desconfiado se realmente houve o vazamento que estão dizendo que houve ou se é só um hoax gigante em cima de um vazamento bem menor.
Eu consultei meu próprio CPF no primeiro arquivo, e veio que eu tenho registro na coluna 20 (Servidor Público). Mas eu não sou, nem nunca fui, servidor público… Então vai saber né.
Já ouviu falar no site “Have I Been Pwned”?
Nenhum comentário:
Postar um comentário