'Fui vazado?': Tire suas dúvidas sobre o vazamento de dados como CPF na internet e saiba o que fazer para se proteger

O Globo
·7 minuto de leitura
Pixabay

RIO - Após o vazamento de dados dos CPFs de mais de 220 milhões de brasileiros no último dia 19 de janeiro, muita gente está em dúvida se está entre as vítimas. Com esse número aí estimado de perfis vazados, é alta a probabilidade.

Portanto, mais que nunca, é preciso aprender a se prevenir em relação a esse tipo de evento.

Com a ajuda de David Svaiter, especialista em criptografia e diretor da OaSys, e Carlos Affonso, diretor do Instituto de Tecnologia e Sociedade (ITS), no Rio, reunimos dicas sobre como ficar atento para evitar armadilhas e como proceder em caso de informações pessoais vazadas.

Que dados vazaram no total? E para que podem ser usados?

Informações como nome completo, data de nascimento e CPF de 220 milhões de brasileiros, que é mais do que a população do país, hoje em 211,8 milhões de habitantes, segundo o IBGE, por haver dados de pessoas falecidas na lista.

Foram exibidos ainda dados de 104 milhões de veículos, como número de chassi, placa, município, cor, marca, modelo, ano de fabricação, cilindradas e até mesmo o tipo de combustível utilizado.

E, ainda, informações de 40 milhões de empresas, contendo CNPJ, razão social, nome fantasia e data de fundação.

Segundo especialistas da empresa de cibersegurança PSafe, os cibercriminosos disponibilizam parte das bases de dados vazadas para comprovar a veracidade das informações obtidas e tentam de alguma forma lucrar vendendo dados mais aprofundados como e-mails, telefones e dados sobre renda.

Como o vazamento foi descoberto?

Os dados foram publicados por um criminoso em um fórum on-line que comercializa bases de dados pessoais. Segundo o G1, o mesmo indivíduo ofertou a lista de CPFs gratuitamente e vende as outras informações.

Como criminosos podem usar os dados?

Munidos desses dados, os hackers podem usar a identidade das pessoas para enviar mensagens falsas personalizadas às vítimas com cobranças fantasmas, ou tentar se passar por elas em operações de crédito ou interações com empresas.

É possível se precaver contra vazamentos desse tipo?

A prevenção, nesse caso, é difícil porque, ao que tudo indica, os criminosos tiveram acesso à base de dados de uma ou mais empresas ou instituiçãos. A pessoa física não tem meios de prever um ataque dessa magnitude, mas pode atuar de forma a prevenir vazamentos em sua conduta de dia a dia.

Veja as melhores práticas recomendadas por especialistas:

Atenção ao uso de seus dados pessoais

Só se deve informar dados pessoais que sejam estritamente necessários aos contratos e compras que estejam sendo feitas, não fornecendo nenhum documento ou informação que vá além do essencial.

Desconfie de exigências de dados a mais

Desde um cadastro em loja física ou num aplicativo, suspeite de pedidos de permissões exagerados, como apps que pedem acesso à câmera mas que nada têm a ver com fotos, ou softwares de delivery que peçam a sua renda etc.

Estude as regras e termos dos serviços

É importante ficar atento ao tema proteção de dados e procurar examinar quais são as regras dos sites e aplicativos que você mais usa em relação à privacidade.

Essas regras nem sempre são descritas de forma amigável, mas existem iniciativas no mercado hoje para simplificar isso.

A Apple já tem etiquetas e indicadores do que cada aplicativo faz com seus dados, o Android tem um menu de permissões para os apps, e assim por diante. É preciso ler com calma os termos e não ir clicando no Eu Aceito ou Eu Concordo sem olhar.

Cuidado com sites que surgem após vazamentos

Depois do vazamento, surgiram alguns sites que afirmam poder confirmar se seus dados foram vazados. Mas você conhece esses sites? Tem ideia da origem deles? Desconfie de soluções prontas, que podem na verdade aumentar sua exposição aos criminosos digitais.

Como fica a Lei Geral de Proteção de Dados (LGPD) nesse cenário?

Embora as sanções administrativas da lei só comecem a ser aplicadas em agosto, a partir do momento que se descubra a origem do vazamento, os usuários podem entrar com ações de responsabilidade civil por danos materiais e morais que venham a ser causados por um incidente de segurança, explica Carlos Affonso, do ITS.

De acordo com a LGPD, a partir de agosto as penalizações para este tipo de vazamentos poderão ser aplicadas e variam desde sanções administrativas até multas que podem chegar a R$ 50 milhões por infração para as empresas responsáveis.

Atenção ao internet banking

Com o aumento do home office, cada vez mais fazemos operações bancárias de forma remota, mas ainda não temos uma cultura robusta de proteção de dados.

Por isso, cuidados básicos são jamais compartilhar log-in e senha com terceiros, verificar se o nome de domínio do endereço web está correto, além de, se no ambiente seguro, o cadeado ao lado dele está fechado, indicando criptografia.

Cautela com o WhatsApp

Atualmente, muito da comunicação com os gerentes de bancos é feita pelo WhatsApp. É importante não fornecer documentos ou senhas por lá, pois golpes podem ser feitos a partir daí. Aliás, essa dica vale para qualquer comunicação via WhatsApp ou e-mail, com amigos e família também. Evite ao máximo expor seus dados assim.

Relação digital com as empresas

Nenhum banco ou empresa vai pedir seus dados num e-mail ou SMS de forma súbita ou isolada. Lembre-se de que é sempre do usuário que parte a iniciativa na hora de fazer um cadastro ou inscrição on-line.

O que geralmente ocorre é que após o envio do formulário a empresa manda um e-mail com um código ou link para validação do cadastro. Mas isso ocorre de forma imediata, e nunca de forma isolada dias depois.

Preste atenção nessas mensagens que surgem do nada, pois levam a sites falsos (phishing) que roubam seus dados uma vez digitados. Nunca clique em links enviados assim, sem um requerimento prévio do usuário.

Em caso de dúvida, entre em contato direto com a empresa para verificar se ela de fato pediu essas informações.

— Em 99% dos casos, a empresa dirá que não as requereu — diz Svaiter. — Essa relação é sempre uma via de mão única: você fornece os dados para a empresa, e nunca ela aárece pedindo sem sua anuência prévia. E, se houver qualquer erro no cadastro, é prática de mercado que ele seja informado na hora, e nunca a posteriori.

Jamais responda a e-mails de 'phishing'

Nunca clique em links pedindo para confirmar dados ou corrigir algo que chega a sua caixa postal sem aviso.

Um usuário que optou oficialmente com a operadora por receber por e-mail a conta da internet percebeu que, depois de um tempo, chegaram e-mails com links e anexos para contas falsas, de modo que ele passou a gravar a data em que a mensagem verdadeira era recebida, checar seu número como cliente e verificar o número de telefone na conta.

Use autenticação em duas etapas

Para os canais mais usados de comunicação, como e-mail e Whatsapp, ative a verificação de identidade em duas etapas, em que a digitação da senha é seguida do envio de um código por SMS para confirmar o log-in. Vale também para apps de reunião como o Microsoft Teams, por exemplo.

Teste se um site é real ou não

Um site de phishing pode aceitar uma senha errada, lembra Svaiter. Se for um site real, detectará o erro na hora, mas não se for uma página web falsa. Na dúvida, vale na dúvida vale fazer um teste.

Use softwares de segurança

Usar softwares antivírus atualizados, com recursos que podem indicar links suspetios na internet e fazem verificações regulares, inclusive nos smartphones, é fundamental.

Muito da vida digital das pessoas hoje acontece no telefone celular, que é um grande alvo para os hackers. Atualize o sistema operaional do computador e do smartphone regularmente, também.