Dados bancários de 534 mil brasileiros estão à venda

Paulo Brito
08/03/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A descoberta foi feita dia 19 de Fevereiro deste ano pelos especialistas da Italtel em São Paulo, durante o monitoramento de riscos digitais para seus clientes

Há uma “loja” na internet vendendo dados de 534.235 mil residentes do Brasil. Não é a primeira vez que isso acontece nem será a última, mas desta vez os ‘pacotes’ não contêm apenas detalhes usuais como nome, endereço e CPF. Mais do que isso, trazem também dados bancários e também ‘selfies’ feitas pelas pessoas nas quais aparecem seus documentos – recurso utilizado pelos bancos e fintechs para a abertura de contas por meio da Internet. O risco da exposição desses dados é que eles podem ser facilmente utilizados para abertura de contas em bancos ou solicitações de crédito.

A descoberta foi feita dia 19 de Fevereiro deste ano pelos especialistas da Italtel em São Paulo, durante o monitoramento de riscos digitais para seus clientes, segundo um artigo publicado pelos especialistas no portal Medium. As características do banco indicam que ele vazou de uma empresa da área financeira – um banco, uma fintech, uma empresa de análise de crédito são exemplos de firmas que podem ter um banco com esse tipo de detalhe. Segundo reportagem do jornalista Felipe Payão para o portal TecMundo, os dados podiam ser acessados por meio de uma API publicada pela empresa de pagamentos URPay. Num contato via e-Mail, o CEO da empresa, José André da Costa, informou ao jornalista que “como a URPay vendeu sua carteira de clientes em Dezembro de 2019, essas APIs eram para estarem desativadas, provavelmente deve ter alguma ativa ainda, logo todas serão desativadas totalmente“.

Fintechs brasileiras já tiveram vazamentos de dados

O Brasil já tem vários incidentes desse tipo. Em agosto de 2018, o digital Banco Inter admitiu um vazamento no qual, segundo o Ministério Público do DF, havia dados de cerca de 20 mil clientes; no mesmo mês, a fintech brasileira de bitcoins Atlas Quantum vazou dados pessoais de 264 mil clientes; em julho de 2019, o site The Hack informou a localização de um vazamento de 250GB de dados de quatro instituições financeiras. 

O ponto de partida para a descoberta do vazamento descoberto pelos especialistas da Italtel foi um grupo no Telegram que naquele dia tinha 1587 membros e uma descrição curiosa: “Grupo de oração pentecostal a jesus, venha orar com a nossa família” (sic). Dentro do grupo, alguns membros anunciavam o site da loja online chamada “PaiDoc Store”, onde havia a comercialização dos dados, documentos pessoais e selfies. 

No grupo, contudo, ninguém reza: ele é conhecido dos especialistas da Italtel e de outras empresas porque seus membros divulgam informações relacionadas a técnicas de fraudes e compartilhamento de dados e documentos pessoais. O site de vendas chamou a atenção por causa da quantidade disponível, superior a 500 mil registros, incluindo as contas que essas pessoas possuem nas agências de 40 diferentes bancos brasileiros.

Segundo artigo assinado pelos especialistas da Italtel e publicado no Medium, a pessoa que desenvolveu e mantém a loja virtual para comercialização dos dados e documentos se identifica como “Thiago” – embora isso não queira dizer muita coisa; há cibercriminosos que se identificam como mulheres e até como crianças. Diariamente ele divulga no grupo o link contendo o endereço da loja em ações de ‘marketing’ que incluem ‘promoções’ e descontos. Quem acessar a loja consegue visualizar a primeira página da listagem de 534.285 itens, que podem ser adquiridos por preços que oscilam entre R$ 20 e R$ 40 por registro. Para pagar, só em Bitcoin (BTC).

Banco de dados do cibercrime era vulnerável

Na verdade, nem é preciso pagar: a equipe da Italtel conta que “durante o processo de investigação, nosso time conseguiu obter em poucas horas todos os dados listados nesta loja”. Ao se clicar no nome de qualquer pessoa listada a página exibe uma nova tela contendo duas fotos da pessoa, mas sobrepostas por imagens que impedem a visualização correta. O conteúdo completo só é liberado para quem compra.

Havia duas fotos em todos os registros consultados pelos especialistas da Italtel: uma de um documento com foto (CNH ou RG) e uma selfie supostamente do dono dos dados. O site informa que após a compra são fornecidos dados bancários das vítimas. Membros do grupo informaram que se tratam de números de agência, conta e tipo de conta.

Segundo o artigo dos especialistas, “um dos maiores riscos para as vítimas que tiveram seus dados expostos e comercializados nesta loja, uma vez que o foco principal dos compradores, inclusive formados pela grande maioria dos membros do grupo aqui descrito, é que estes documentos podem e são utilizados na grande maioria das vezes para abertura de contas em outros bancos, solicitações de crédito ou demais serviços online que exigem fotos do documento e uma comprovação pessoal, como a selfie”.

Atualizado às 15h30 em 09/03/2020

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest