Vazamento não é da Serasa, mas de uma empresa estatal, diz hacker

Esse banco de dados não era o único sendo oferecido: havia também outro com 40 milhões de registros de pessoas jurídicas.
Da Redação
29/01/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um hacker que tem acesso à dark web e a detalhes do vazamento de uma tabela com 223 milhões de registros de cidadãos brasileiros enviou ao CISO Advisor informações de que os dados desse vazamento não vieram da Serasa Experian. Segundo a pessoa que enviou a mensagem, os dados “realmente não é do Serasa não. Eles vêm de uma empresa interligada com o governo” (sic). A pessoa disse que embora não tenha nenhuma participação no incidente teve conhecimento desses detalhes em conversas no fórum.

CISO Advisor publicou a notícia desse vazamento no dia 12 de janeiro com o título 223 milhões de pessoas, 40 milhões de empresas: dados estão à venda. O vazamento havia ocorrido às 02h56 da véspera, com o título “Serasa Experian Full Service”. A redação decidiu não publicar o nome da Serasa, mas somente as informações do vazamento por uma questão de cautela.

Veja isso
Vazamento expõe dados pessoais de milhões de brasileiros
Dois em cada cinco brasileiros já foram vítimas de golpe de phishing

Esse banco de dados não era o único sendo oferecido: havia também outro com 40 milhões de registros de pessoas jurídicas.

Clique para ampliar: anúncio do vazamento publicado no dia 11 às 2:56 da manhã

A tabela de dados de pessoas físicas tem 37 campos, alguns dos quais semelhantes aos que são usados pelos birôs de crédito, mas também há campos com nomes de informações disponíveis na previdência social, assim como outros associados a redes sociais. Um dos campos se chama Mosaic, mesmo nome de um produto de classificação de dados da Serasa. Esse fato pode ter reforçado as suspeitas de que os dados seriam origem na empresa.

Depois da publicação desse anúncio na dark web, apareceram versões dessa tabela que incluíam “fotos”, embora não exista nenhum campo destinado a um registro associado a foto no vazamento inicial, ou seja, já existem réplicas dessa tabela, incompletas e também com dados que não constam da original. O fato é consequência da atividade dos cibercriminosos buscando vender dados.

A assessoria de comunicação da Serasa Experian enviou ao CISO Advisor a declaração mais recente da empresa sobre o assunto: “Tem havido notícias na mídia de que um hacker está oferecendo ilegalmente dados sobre cidadãos brasileiros na web, alguns dos quais alega estariam relacionados à Serasa. Assumimos o compromisso de proteger a privacidade dos dados dos consumidores que tratamos de forma extremamente séria. Nossa investigação até o momento mostrou discrepâncias significativas entre as alegações feitas e os dados que mantemos em nossos arquivos. Iniciamos mais uma análise de arquivos adicionais que foram disponibilizados”.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest