G1 - 07 de maio de 2015
Nesta semana, site que expõe situação de CPF gerou revolta na internet.
Ministério da Justiça notificou servidor de site.
O site “Nomes Brasil”, que permite que sejam consultados números e situações de CPFs de pessoas apenas digitando seu nome, gerou reclamações e campanhas por sua retirada do ar nesta semana. O Ministério da Justiça informou na quarta-feira (6) que notificou o provedor de acesso do site, pois a prática pode ferir o Código de Defesa do Consumidor e o Marco Civil da Internet. As sanções em caso de irregularidade podem chegar a R$ 7,2 milhões.
O caso, porém, não é o único no Brasil. Segundo o especialista em segurança digital Fernando Mercês, há outros sites semelhantes e os dados vazados podem ser utilizados em fraudes sem que a vítima jamais fique sabendo.
“Esses sites não são novos. Já houve outros e depois e algum tempo eles acabam sendo retirados do ar", diz Mercês, pesquisador de ameaças da Trend Micro.
Outro caso recente aconteceu em dezembro, quando o site “Fonedados” entrou na mira do Ministério Público Federal após gerar revolta entre os internautas. Com um banco de dados contendo informações como números de telefone fixo e de celular, endereços e CPF, o mecanismo permite que registros sejam cruzados a ponto de, a partir da pesquisa pelo endereço, ser possível descobrir telefones relacionados a ele.
Mercês explica que bancos de dados com informações pessoais de cidadãos coletadas de forma ilegal são comuns e usados por criminosos para diversos tipos de fraudes. Em muitos casos, a pessoa que teve seu CPF vazado nem fica sabendo da irregularidade.
“Podem comprar coisas em nomes de outros, conseguir algum tipo de crédito. Infelizmente, não é difícil, estando em posse dos dados, praticar ações criminosas. A pessoa [que teve os dados roubados] pode acabar com uma dívida”, diz Mercês. “Mas normalmente os criminosos não conseguem um crédito significativo sem a assinatura da pessoa. O que acontece muito é utilizar os dados para registrar compras. Eles mesmos pagam, então a dívida não vai para pessoa, ela não fica nem sabendo. Isso é feito para esconder a real identidade do próprio criminoso se ele quiser abrir uma loja online falsa, por exemplo.”
O especialista explica que o uso de dados para cometer esse tipo de fraude tem como objetivo de “dificultar a ação da polícia depois que o crime vem à tona”, já que o “rastro” deixado na internet tem as informações de outra pessoa, não do criminoso.
“Para comprar um site, um domínio, é tudo feito pela internet. Ninguém verifica se a pessoa é ela mesma. A pessoa consegue fazer essa compra no nome de outra e comete o crime, abre uma empresa fantasma ou coisas do tipo.”
Seu nome na lista de dados roubados
As reclamações de quem encontrou seu nome na lista do “Nomes Brasil” deram origem à uma página no Facebook para reunir pessoas que tiveram seus dados expostos e orientá-las a denunciar o caso ao Ministério Público e à Polícia Federal. O grupo foi criado no dia 3 de maio pela professora de informática Bruna Rodrigues.
“Quando percebi a irritação e o desespero que o site estava causando, precisei fazer algo que reunisse todos os que estavam se sentindo lesados com isto. Meus dados foram expostos pelo site, assim como os da minha família, e isso, claro, contribuiu para que eu tomasse alguma atitude”, conta ela. Até a noite de quarta-feira (6), a “Nomes Brasil – Denuncie” tinha mais de 400 pessoas.
O advogado Franz Brehme, de São Paulo, ficou preocupado ao encontrar os dados de seu pai expostos. Ele também fez uma busca com os nomes de seus colegas de trabalho e descobriu que seus chefes haviam tido os dados vazados. “Nunca tinha visto algo assim, e me parece um absurdo. Fiquei realmente chocado”, diz Franz. “Só têm acesso aos meus dados pessoais (nome e CPF, no caso) quem eu queira e o poder público, dada a necessidade de registro civil, tributação. Não seria, nesse contexto, lícito a nenhum particular divulgar dados pessoais meus, ainda mais sem um propósito específico.”
Procurada pelo G1, a Receita Federal informou que “não fornece e nunca forneceu dados para o referido site”.
Dados roubados são vendidos por R$ 30
Fernando Mercês explica que uma das formas de conseguir informações como CPF é comprando bases de dados conseguidas de forma criminosa, por meio de invasão de sites.
“Existem alguns sites de origem duvidosa que oferecem serviços para que as pessoas consultem dados de clientes, especialmente para empresas de comércio. Mas alguns sites são idôneos, como o do Serviço de Proteção ao Crédito (SPC). Quem paga para utilizar os dados desses sites tem um usuário e senha para fazer consultas. Alguns criminosos tentam roubar as senhas das máquinas dessas pessoas”, explica o especialista.
Segundo o pesquisador, bases de dados roubadas desses sites são vendidas ilegalmente por um valor médio entre R$ 25 e R$ 30. “Já bases maiores, com milhares de telefones e nomes de uma cidade grande, está em torno de R$ 750”, afirma.
O especialista aponta que o preço relativamente baixo dos dados mostra que a maioria dos criminosos na internet busca essas informações para fraudes mais lucrativas. “Tem alguns especializados em vender. Como vários criminosos compram, mesmo sendo barato eles conseguem fazer dinheiro. Mas a maioria utiliza os dados para crimes maiores, com ganhos mais significativos.”
Por que os dados viram públicos?
Mercês explica que, uma vez já utilizados os dados para fraudes, esses bancos de dados perdem o valor e passam a ser disponibilizados na internet. “Alguns já usaram a base e ela já perdeu o valor de mercado, então fazem o que fizeram com esse site, colocam publicamente. Fica um tempo e depois as empresas denunciam e as pessoas conseguem acabar retirando isso do ar.”
As motivações para a exposição, segundo o especialista, variam. “Uma delas é provar que eles têm acesso aos dados, fica uma espécie de guerra de egos. Isso não vem ao público, mas entre eles é conhecido quem fez. E outra motivação pode ser o ciberativismo. Eles trabalham com o lema de que a informação tem que ser livre, todo mundo tem que ter acesso.”
A recomendação de Mercês para preservar a segurança de dados pessoais é buscar na internet informações sobre si mesmo para ver se há dados disponíveis em algum site, “para então entrar em contato com o site ou com a própria polícia se o site for falso. Nesse caso, o que dá para fazer é acionar as autoridades.”
Porém, o especialista aponta que, uma vez divulgados os dados, o dano já está feito. O problema é que uma vez exposto na internet não há mais controle. É quase impossível erradicar essas informações”, lamenta.