Os dados completos de milhões de brasileiros estão expostos na internet em sites que podem ser acessados por quem se dispuser a pagar uma mensalidade que varia em torno de R$ 200.
São páginas criminosas que reúnem cadastros vazados do CadSUS, da Senatran (Secretaria Nacional de Trânsito), da Receita Federal, do INSS (Instituto Nacional de Segurança Social), da empresa privada Boa Vista e do Sinarm (Sistema Nacional de Armas), da Polícia Federal.
Todas as informações ficam organizadas no que os vendedores apresentam como “painéis”. Para acessá-los, é necessário ter um login e uma senha. Os dados disponíveis incluem nome completo, endereço, CPF, RG, nome dos pais e irmãos, renda aproximada, foto e assinatura da CNH (caso tenha o modelo mais recente) e benefícios sociais, entre outros. É possível saber até se há um mandado de prisão em nome da pessoa.
Essas negociações não ocorrem em fóruns na deep web (internet profunda), como costuma acontecer com muitas transações ilegais. No caso dos painéis, as vendas se dão por meio de conversas no Facebook na chamada surface web, a camada da internet em que os conteúdos podem ser encontrados com facilidade por qualquer usuário.
Sem se identificar e se passando por interessada, a Folha entrou em contato com alguns vendedores desses painéis, aos quais teve acesso de forma gratuita para testar o programa.
De acordo com Roselle Soglio, advogada criminalista e professora de direito penal e processo penal, tanto os que vendem os acessos como os que compram, cometem crimes. Podem ser acusados com base nos artigos 153 e 154 do Código Penal, que tratam da divulgação de conteúdo particular e invasão de dispositivos digitais.
“A lei dos crimes digitais incide tanto para quem deixou os dados vazarem como para aqueles que acessaram de forma ilegal”, afirma.
A reportagem visitou dois painéis. Ambos prometiam amplo acesso aos dados dos brasileiros, mas com algumas diferenças técnicas: um dos sites permitia cruzamentos mais sofisticados entre as informações e apresentava menos falhas durante as buscas.
Para verificar a veracidade dos painéis, a reportagem utilizou dados de voluntários e empresas que, por segurança, não serão identificados. Todas as informações procuradas foram encontradas.
Os vendedores dizem que puxam os dados por meio de logins de funcionários dos órgãos públicos, gerando acessos indevidos nos sistemas das instituições. Há atualizações permanentes em intervalos que variam de alguns dias a cerca de um mês.
Soglio explica que ao vender as senhas os funcionários cometem o crime de peculato. “Nesse caso também incide o crime contra a administração pública. Tem um agravante porque eles deveriam proteger esses dados”, diz.
Os painéis oferecem o cruzamento de informações como o CEP, nome e renda, criando um perfilamento de vítimas, o que facilita a ação de assaltantes, por exemplo. Basta estabelecer uma renda mínima em um logradouro para que o sistema devolva uma lista de moradores que declaram valores próximos daquela quantia.
Cruzam ainda dados da Receita Federal, INSS e Boa Vista para estimar valores de empréstimos a serem liberados em nome das vítimas. Informam também se elas já têm crédito aprovado. As estimativas incluem pessoas mortas.
O site também informa dados de empréstimos consignados para aposentados, servidores públicos e militares. Para conseguir os dados, basta acessar a base do INSS, do Siape (Sistema Integrado de Administração de Pessoal) ou do Exército cadastrada no sistema.
A busca pode partir de qualquer informação que o criminoso tenha sobre a pessoa, seja o CPF, nome completo, a empresa em que ela trabalha ou número de registro da instituição que ela é vinculada.
No caso de empresas, por meio do CNPJ é possível acessar nome, CPF e outros dados pessoais dos empregados. Os painéis também oferecem uma ferramenta que mostra a frota de veículos da companhia.
Algumas informações, porém, são desatualizadas ou aproximadas, caso da renda e da pontuação em órgãos de proteção ao crédito.
De acordo com Fabro Steibel, diretor-executivo do ITS (Instituto de Tecnologia e Sociedade), os painéis permitem que os criminosos se especializem em um tipo de golpe. “Se eu tenho dados de uma pessoa, eu não vou criar um negócio ilícito para aplicar golpes. Se eu tenho 200 milhões de pessoas, eu crio um robozinho e começo a mandar mensagem”, diz, tomando como exemplo golpes de boletos e de WhatsApp.
O pesquisador afirma que o vazamento cria um risco grande para o Estado, uma vez que, com inteligência artificial, é possível, por exemplo, obter os dados de policiais em todo o país.
Outro problema é que os dados vazados da Polícia Federal pertencem ao Sinarm, o que permite conhecer as armas vinculadas ao CPF da pessoa. Por meio da busca, é possível saber todas as informações do armamento, assim como endereço e outros dados pessoais, o que facilita ações de criminosos e desvio de armas de fogo.
“Há também as pessoas expostas politicamente. Se eu fizer uma busca só de pessoas expostas, eu tenho uma busca riquíssima de clientes para extorquir”, afirma Steibel.
Segundo Celina Bottino, diretora do ITS (Instituto de Tecnologia e Sociedade) e especialista em tecnologia e direitos humanos, seria preciso limitar o acesso dos funcionários aos dados estritamente necessários para que eles desempenhem suas funções
“O Estado, como maior repositório de dados pessoais, mais do que ninguém, tem que colocar todas as proteções oriundas das obrigações legais de pé“, afirma Bottino.
No caso de vazamentos, a LGPD (Lei Geral de Proteção de Dados) determina que todos os indivíduos afetados sejam avisados sobre os dados comprometidos, os riscos relacionados ao incidente e as medidas tomadas para mitigar os prejuízos.
As sanções para instituições que descumprirem a legislação variam de advertência a proibição das atividades relacionadas ao banco de dados envolvido, além de multa, que pode chegar a até R$ 50 milhões.
Em resposta aos questionamentos da reportagem, a Polícia Federal informa que houve um acesso ao sistema mediante a utilização de usuário e senha de maneira indevida e não decorrente de falha técnica.
“A PF ressalta que utiliza tecnologia de ponta na proteção dos dados, todavia o acesso indevido a banco de dados, com a utilização de usuário e senha, foge à seara técnica de proteção”, diz, em nota.
O Ministério da Saúde afirma desconhecer acusações de acesso por meio de credenciais válidas e que monitora constantemente o CadSUS.
“Caso for constatada alguma irregularidade, o acesso da credencial é suspenso e os órgãos competentes são devidamente informados para que sejam tomadas as devidas providências”, declara, em nota.
O INSS declara que “informações pessoais e sobre os benefícios são consideradas sigilosas, podendo ser fornecidas apenas à própria pessoa dona dos dados ou a algum representante legal especificado em lei”. Diz também que trabalha para garantir a segurança dos usuários. O instituto não respondeu se já estava ciente dos vazamentos ou se irá notificar o público afetado.
Já a Receita Federal afirma que não houve vazamento de seus bancos de dados.
O Senatran declara que não identificou, até o momento, nenhum indício de vazamento de dados a partir de sua base de processamento de dados. Afirma que, se confirmada a denúncia de venda de acessos por funcionários, trata-se de uma prática criminosa, que será investigada pelas autoridades policiais.
A Boa Vista afirma que não houve acessos indevidos nos sistemas e base de dados sob sua responsabilidade. A empresa esclarece que é de responsabilidade dos clientes os acessos capazes de gerar relatórios de crédito e que a comercialização desses dados é contratualmente vedada.
A ANPD (Autoridade Nacional de Proteção de Dados) informa que não há nenhum processo de fiscalização em andamento que se relacione com os painéis e que será necessário verificar se os vazamentos são decorrentes de incidentes anteriores ou novos. Diz ainda que as instituições têm o dever de apresentar o “Comunicado de Incidente de Segurança”, para que a autoridade tenha ciência do vazamento.
*Com informações de MaisGoias