No dia 14 de janeiro, soou o alerta nos corredores da empresa de segurança digital PSafe, com operações no Brasil e nos Estados Unidos. O sistema de monitoramento da companhia na dark web apontava para o vazamento de 40 milhões de CNPJs brasileiros. Naquele momento, imediatamente, uma equipe foi destacada para investigar e a descoberta foi ainda pior.
Um hacker tinha em mãos – e estava vendendo – os dados de 223 milhões de CPFs, até de pessoas que já morreram. Informações como Imposto de renda, salário, nível de escolaridade, título de eleitor, último emprego, telefone, email, endereço. Tudo estava ali. Uma catástrofe, nas palavras de Marco DeMello, fundador e CEO da PSafe.
O cibercriminoso dizia ter extraído as informações do sistema da Serasa Experian, onde teria se infiltrado, permanecido por 18 meses e subtraído dados que vão de 2008 a 2019. São milhões de informações sensíveis que afetam a vida de pessoas e empresas. DeMello diz que essa é a alegação do criminoso e não consegue confirmar se a fonte é a Serasa.
Em nota enviada ao NeoFeed, a Serasa disse o seguinte: “Assumimos o compromisso de proteger a privacidade dos dados dos consumidores que tratamos de forma extremamente séria. Nossa investigação até o momento mostrou discrepâncias significativas entre as alegações feitas e os dados que mantemos em nossos arquivos. Iniciamos mais uma análise de arquivos adicionais que foram disponibilizados.”
O fato é que até agora pessoas, empresas e governos ainda não se atentaram para a magnitude do ocorrido. “Não se deram conta do problema. A ficha ainda não caiu. Ainda não senti o pânico devido”, diz DeMello, que trabalha com segurança digital há 25 anos e foi o responsável pelo Hotmail da Microsoft.
O empresário ainda alerta. “Temos duas pandemias hoje. Há uma pandemia biológica de covid-19 e uma pandemia digital de ataques de inteligência artificial. A pandemia digital, especificamente falando, não tem sido levada a sério no Brasil.” E ele aponta para o empresariado brasileiro.
“O mundo mudou e o empresário brasileiro continua achando que tem antivírus e está bem. Eu digo para ele: ‘Não, não está bem, meu querido. Está com o seu bumbum de fora, 100%’. É uma questão de “quando” e não “se” vai sofrer um ataque." E diz mais. “Em segurança da informação, o empresário brasileiro, de modo geral, é inconsequente.”
O Brasil, afirma DeMello, é o segundo pior País do mundo em tempo de detecção de uma invasão. “A gente só perde para a Turquia. No Brasil, em média, um vazamento é detectado pelas empresas depois de 46 dias. Nos países que adotam as melhores práticas, por exemplo, demora entre 24h e 48h”, diz DeMello. Na entrevista que segue ele detalha os perigos envolvidos. Acompanhe:
Como vocês descobriram esse vazamento de dados?
Em outubro de 2020, a gente lançou o Dfndr Enterprise e toda a infraestrutura dele inclui o monitoramento da dark web para vazamentos de dados. Na manhã de 14 de janeiro deste ano, o nosso sistema de inteligência artificial de monitoramento de dark web alertou para o vazamento de 40 milhões de CNPJs. Nosso time de segurança, imediatamente, entrou no fórum na dark web e começou a interrogar o criminoso. Ao encontrar os 40 milhões de CNPJs, o primeiro passo foi validar os vazamentos.
E conseguiram validar?
Validamos. Completamente fatídico e verídico, não havia o que discutir. Todos os dados de empresas que pesquisamos, em termos de CNPJ, razão social, endereço, último contato de telefone conhecido, batiam. Não suficiente, na mesma página com esse criminoso, encontramos uma base de 104 milhões de veículos com todos os dados: marca, modelo, data de fabricação, nome do proprietário, endereço de registro, placa, tudo. Se isso não bastasse, para nosso espanto completo, encontramos uma terceira pasta com 223 milhões de CPFs, mais do que pessoas vivas no Brasil.
E de onde vinha isso?
Ao interrogarmos o criminoso, entendemos que esse vazamento contém dados de 2008 a 2019. Ou seja, 11 anos de dados agregados. Esse cibercriminoso alega ter invadido a base da Serasa Experian e ter ficado infiltrado na rede deles por 18 meses. Essa é a alegação dele, a PSafe não confirma isso. Aí, então, o interrogamos sobre a base de CPFs. Ele disponibilizou para a gente um extrato da base de CPFs que continha CPF, nome, sexo e data de nascimento. Tudo o que pesquisamos bateu. Ainda assim, duvidando, falando para o criminoso que era tudo mentira para provocar e ver se ele perdia o controle, ele manteve a linha. É um cara frio e calculista e mostrou mais uma base para a equipe. E aí fiquei realmente assustado com os dados que ele tinha.
“Fiquei realmente assustado com os dados que ele tinha”
Por quê?
Ele disponibilizou um extrato de dois mil registros com todos os dados. O que tem lá dentro é tudo o que você pode imaginar da vida de uma pessoa.
Por exemplo?
Imposto de renda, salário, nível de escolaridade, título de eleitor, último emprego, telefone, email, endereço... Nem sei como parar a lista. É tudo isso e muito mais. Até fotos de rosto para biometria facial, de quem tinha registrado isso em algum momento, estão lá.
Vocês conversaram com esse criminoso. Quem ele é?
Ele não é brasileiro, não mora no Brasil e tem muitos anos de experiência na dark web com esse tipo de operação. Ele está vendendo cada 1 mil registros por US$ 100. E isso seria pago em bitcoin com carteiras descartáveis.
Mas de onde ele é?
Ele não quis dizer. A gente especula que ele seja do leste europeu. É uma especulação nossa baseada no inglês que ele usa, nas expressões que adota, na forma que se dirige a nós.
“Ele está vendendo cada 1 mil registros por US$ 100. E isso seria pago em bitcoin com carteiras descartáveis”
Quem são os clientes de um cibercriminoso como esse?
Organizações criminosas, outros criminosos e, às vezes, acredite se quiser, até empresas que querem ter acesso a esses dados para fazer campanhas de vendas. Mas, em geral, são organizações que querem perpetuar golpes e roubo de identidade baseado nesses dados.
O que é possível fazer com os dados que esse criminoso tem em mãos?
Consegue empréstimo, cartão de crédito, vender os bens da pessoa. Por exemplo, referencia o registro do veículo com os dados da pessoa e consegue vender o carro dessa pessoa. Pode conseguir crédito em nome do imóvel, criar uma hipoteca, abrir crediário. Pior ainda, tem criminoso que comete crimes com a identidade da vítima.
As pessoas e as empresas estão ligadas no que, de fato, está acontecendo?
Não se deram conta do problema. A ficha ainda não caiu. Ainda não senti o pânico devido. Tive uma reunião com a ANPD (Agência Nacional de Proteção de Dados), vamos cooperar nas investigações. É o maior vazamento de dados da história.
“É o maior vazamento de dados da história”
Como as empresas podem ser prejudicadas?
Da mesma forma que pessoas físicas têm suas identidades roubadas, as pessoas jurídicas também. Os criminosos podem usar os dados para cometer crimes ou invasões físicas ou digitais. Há várias consequências. A mente criminosa é a mais criativa do mundo. O que venho alertando faz tempo é que o cidadão brasileiro, o empresário brasileiro e o governo brasileiro não entendem o fato de que o mundo digital mudou.
De que forma?
Temos duas pandemias hoje. Há uma pandemia biológica de covid-19 e uma pandemia digital de ataques de inteligência artificial. A pandemia digital, especificamente falando, não tem sido levada a sério no Brasil.
Os ataques aumentaram muito?
O número de ataques em 2020 foi mais do que o dobro de 2019. Em volume de dados e de transações de ransomware aumentou mais de dez vezes. Em 2020, a dark web movimentou US$ 1,8 trilhão. Só com transações ilícitas. Isso é uma indústria estabelecida com departamentos e divisões espalhadas pelo mundo com líderes e sub líderes.
“Em 2020, a dark web movimentou US$ 1,8 trilhão. Só com transações ilícitas”
Você já viu um vazamento dessa magnitude como o que aconteceu no Brasil?
Vazamento dessa magnitude eu nunca vi. Tenho 25 anos de indústria de segurança e nunca vi algo parecido. É todo mundo que está vivo no Brasil e vários que já morreram.
O que o brasileiro tem de fazer?
Ficar muito alerta a atividades suspeitas, mudar as senhas, criar um segundo fator de autenticação. Mudar senha de banco, de cartão de crédito.
As empresas brasileiras, de modo geral, estão protegidas?
O que me preocupa é que os empresários brasileiros continuam acreditando que estão protegidos porque suas empresas têm antivírus instalados. A maioria não serve para absolutamente nada. Imagina que eles estão rodando tecnologia de segurança nas suas empresas que data da época em que a gente chegava em endereços usando mapa de papel. O mundo mudou e o empresário brasileiro continua achando que tem antivírus e está bem. Eu digo para ele: ‘Não, não está bem, meu querido. Está com o seu bumbum de fora, 100%’. É uma questão de “quando” e não “se” vai sofrer um ataque.
Mas essa é uma preocupação só para as grandes empresas?
É para todas as empresas. Elas têm de ter uma ferramenta moderna, com inteligência artificial, com monitoramento de dark web, algo desse calibre. Não adianta ir a um tiroteio com uma faca na mão.
“Não adianta ir a um tiroteio com uma faca na mão”
Você tem ideia de quanto o Brasil perde por conta dos ataques?
É quase incalculável porque a maioria dos ataques e vazamentos que acontecem no Brasil não é reportada. Até a LGPD, que começa a multar a partir de agosto, não existe uma obrigação jurídica de reportar. O Brasil é o segundo pior País do mundo em tempo de detecção de uma invasão. A gente só perde para a Turquia.
Demora tanto assim para detectar a invasão?
No Brasil, em média, um vazamento é detectado pelas empresas depois de 46 dias. Nos países que adotam as melhores práticas, por exemplo, demora entre 24h e 48h.
Por que o Brasil é tão ruim nesse aspecto?
Porque não existem sistemas atualizados capazes de detectar a presença de um invasor ou do vazamento dos dados. Em certas áreas, como a segurança da informação, o empresário brasileiro, de modo geral, é inconsequente. Ele tem acreditado que “comigo não”, acha que o funcionário não navega em site de pornografia, nem baixa o torrent e nem pirataria. Ele acha que o antivírus de 15 anos atrás vale hoje em dia. O mundo mudou. Atualmente, um ataque de inteligência artificial baseado em engenharia social penetra a sua empresa em dez segundos. Em 15 minutos, no máximo, está dentro do seu sistema, se você não tiver defesa. E as pessoas não entendem a gravidade isso. Acham que somos os profetas do apocalipse porque vendemos sistema. Não, não comprem o meu sistema, mas façam algo.
Qual é a magnitude do investimento necessário para que o País entre num patamar mais elevado de segurança digital?
É preciso muito investimento. A criação de ANPD e da LGPD são exemplos positivos para haver uma responsabilidade porque, no fim do dia, o empresário brasileiro só atenta para aquilo que dói no bolso. Tem de haver uma punição e uma multa para esse tipo de desleixo e descuido com os dados das pessoas e das empresas. As empresas, como parte de adequação à LGPD, precisam adotar medidas de segurança e governança de privacidade de dados muito melhores do que elas adotam hoje. Esse assunto tem de ser levado a sério. Tem de partir do CEO e chegar no funcionário mais júnior e vice-versa. Segurança de dados deve ser assunto prioritário do CEO e das reuniões de conselho.
“Segurança de dados deve ser assunto prioritário do CEO e das reuniões de conselho”
Mas a maioria dos CEOs fala de dados hoje em dia...
Sim, eles estão preocupados com a quantidade, variedade e qualidade dos dados que eles têm e com a receita e a lucratividade que a empresa terá com isso. E aí pergunto: ‘cadê a segurança disso tudo?’.
Aliás, se descobrirem a fonte de onde os dados foram vazados, qual é o impacto disso para essa empresa?
Se isso for realmente descoberto, não sei nem te dizer, não é minha alçada determinar consequência. Mas eu imaginaria uma consequência muito grave, não só em termos de sanções, mas também em termos de cessar as operações. Se ficar comprovado, tem que parar a operação. Isso não é um vazamento de dados, isso é uma catástrofe.