Informa��es vazadas sobre 223 milh�es de CPFs ficaram mais acess�veis

A pris�o do suspeito pelo maior vazamento de dados da hist�ria do Brasil n�o deve diminuir a circula��o das informa��es. Nos �ltimos dois meses, as informa��es referentes a 223 milh�es de CPFs e 40 milh�es de CNPJs ficaram mais acess�veis a criminosos e golpistas. As informa��es foram agrupadas em blocos maiores e tiveram os pre�os reduzidos.

Embora o an�ncio original da venda tenha surgido em um f�rum de acesso mais simples (pois era indexado pelo Google), os criminosos em posse das informa��es facilitaram a dissemina��o dessas informa��es na deep web, local que permite a alta circula��o de criminosos e golpistas.

Em janeiro, o hacker vendia os dados em pacotes pequenos de CPFs: 100, 2 mil e 20 mil n�meros de CPF. Agora, os dados foram agrupados em 40 pacot�es, cada um com dados de cerca de 5,6 milh�es de CPFs e 1 milh�o de CNPJs. Proporcionalmente, o pre�o por CPF sofreu redu��o, pois o criminoso est� cobrando 40 mil euros por toda a base ou 1 mil euros por grupo. Antes, a precifica��o era de US$ 100 por 100 CPFs, US$ 500 por 2 mil CPFs e US$ 2.000 por 20 mil CPFs - no total, o hacker poderia ganhar mais de US$ 20 milh�es. A informa��o na redu��o de valores foi publicada inicialmente no site Tecnoblog e confirmada posteriormente pelo Estad�o.

Al�m disso, o hacker dizia no novo an�ncio que entregava gratuitamente o primeiro dos 40 lotes para aqueles que negociassem diretamente com ele, o que j� torna p�blico os dados de mais de 5 milh�es de pessoas. Em janeiro, os criminosos haviam postado uma amostra gr�tis que continha os dados de apenas 40 mil pessoas.

O novo an�ncio na deep web tamb�m d� indica��es de que n�o apenas o hacker tem as informa��es que diz ter, como tamb�m foram bastante comercializadas no submundo da rede. O f�rum indica que ele j� efetuou quase 700 vendas em toda a hist�ria, marca alta. Al�m disso, ele apresenta nota alta no sistema de ranqueamento, o que significa que ele costuma entregar o que promete.

"N�o � poss�vel colocar a pasta de volta no tubo. Os dados que vazaram e se disseminaram devem continuar sendo explorados ativamente por criminosos, dando origem a novos bancos de dados, incluindo informa��es atualizadas de novos vazamentos", diz Felipe Daragon, fundador da empresa de ciberseguran�a Syhunt. "Cabe agora aos governos, empresas e sociedade compreenderem e se adaptarem a esta nova realidade, dando respostas adequadas".

De fato, o megavazamento j� parece ser um exemplo da evolu��o de bases de dados vazadas. No come�o de mar�o, um novo an�ncio foi postado no mesmo f�rum do megavazamento de janeiro. Nele, havia a oferta de uma base de dados de 223 milh�es de CPFs, que supostamente pertencia ao Poupatempo, que negou ter sido alvo de a��o criminosa. A indica��o de que os dados teriam partido do �rg�o paulista estava no pr�prio an�ncio do criminoso.

A pedido do Estad�o, a Syhunt comparou as informa��es contidas nos dois vazamentos. A conclus�o � de que a base do Poupatempo � uma vers�o antiga - e mais simplificada - da base de janeiro. Isso refor�a a tese de especialistas em ciberseguran�a de que a base de janeiro tem m�ltiplas fontes e foi constru�da ao longo do tempo. As informa��es s�o do jornal O Estado de S. Paulo.