SÃO PAULO, SP (FOLHAPRESS) - Um hacker anunciou, nesta quinta-feira (25), em um fórum na internet, que colocava à venda os dados de mais de 12 milhões de brasileiros, incluindo o número e senha de cartão de crédito. O pacote, com informações potencialmente obtidas em fevereiro de 2021, custava US$ 50 mil (R$ 273 mil).

Além dos cartões de crédito, há dados correlacionados, como nome, email, telefone, CPF ou CNPJ. A informação foi noticiada pelo jornal Estadão e confirmada pela reportagem.

O pacote não foi anunciado na deep web, seção oculta da internet que não é indexada em sites de busca, como o Google, onde costumam ocorrer essas vendas. No entanto, isso não significa que não esteja disponível nessa área. A reportagem confirmou com a empresa de cibersegurança Syhunt a relação de nomes das pessoas com os cartões de crédito.

Em um primeiro momento, é impossível comprovar se as informações anunciadas são factíveis. O hacker exibe de modo rasurado, uma forma de não evidenciar o conteúdo de sua venda.

Especialistas dizem que alguns indícios podem ser considerados em casos do tipo. Nesse episódio, o hacker, ou o coletivo de hackers, com pseudônimo "gneziol", tem credibilidade dentro do fórum. Procurado, ele não se manifestou.

Segundo o anúncio, as informações foram capturadas por marcas da empresa Eduzz, uma plataforma que auxilia empreendedores com melhora de performance em vendas online. A empresa não se manifestou até a publicação deste texto.

Não há paralelo evidente entre esse vazamento e os anteriores, como o que ocorreu em janeiro deste ano e expôs cerca de 220 milhões de CPFs e uma série de documentos pessoais, além de outro episódio em que ocorreu o vazamento de 100 milhões de contas de celular. Há possibilidade, entretanto, de que essas bases sejam compiladas e agregadas, fornecendo ainda mais risco aos consumidores.

"Alguns vazamentos podem contribuir para que outros ocorram, e aí vira um efeito dominó. Os dados de diferentes vazamentos podem ser agregados. Com a senha, é possível chegar a uma conta administrativa vazada de outra leva, e conseguir acessá-la, por exemplo", diz Felipe Daragon, da Syhunt.

A recomendação inicial para qualquer pessoa que possua cartão de crédito é ficar atento a movimentações financeiras e alterar a senha de acesso do aplicativo e do próprio cartão. Qualquer compra diferenciada deve ser registrada para eventual contestação no banco.

O pagamento aos vendedores de dados costuma ser feito com criptomoedas, impossíveis de rastrear.

De acordo com a LGDP (Lei Geral de Proteção de Dados), se a empresa identificar que houve violação cibernética em seu sistema, deve informar a clientes e potenciais cidadãos afetados. As multas da nova legislação estão previstas apenas a partir de agosto.

Procurada, a ANDP (Autoridade de Proteção de Dados), ainda não se manifestou.