O analista de vírus Fabio Assolini, da Kaspersky Lab, divulgou a existência de sites criminosos capazes de exibir informações como endereço, sexo, data de nascimento e nome da mãe de aparentemente qualquer cidadão brasileiro. Os dados provavelmente são baixados do site do Ministério do Trabalho e Emprego (MTE), apontando que falhas no sistema do próprio governo estariam facilitando a atividade criminosa.
Sites como o encontrado pelo analista são chamados de sites de serviços “cibercriminosos para cibercriminosos” (C2C). Os dados completos do cidadão podem ajudar criminosos a falsificar sua identidade em serviços que pedem informações como endereço e nome da mãe para validar os dados apresentados pelo cliente. Até mesmo bancos dependem dessa informação para serviços realizados por internet ou telefone.
“Isso possibilita a um cibercriminoso a criação de ataques direcionados, como as mensagens de phishing com o número do seu CPF. Assim ele passa credibilidade e não levanta suspeitas”, comenta Assolini. Embora um endereço de e-mail não seja disponibilizado pelo site, criminosos podem cruzar dados. “É comum que cibercriminosos negociem listas de e-mails entre si. Essas listas possuem milhares de endereços de e-mails, coletados de várias formas”, diz o analista.
O G1 apurou que os dados existentes no site criminoso são as mesmas disponibilizadas em um serviço em uma URL de “sistemas” do Ministério do Trabalho. Qualquer número CPF adicionado ao final da URL no site do MTE retorna os mesmos dados retornados pelo site criminoso, no mesmo formato: em caixa alta e com as mesmas divisões no campo de endereço.
O código da página criminosa que pega os dados no Ministério do Trabalho pode ser encontrado publicamente na internet, bem como as informações sobre a existência do serviço que fornece os dados.
O Ministério do Trabalho foi informado a respeito da equivalência dos dados, mas não comentou o caso.
Responsabilidade
“O governo pode ser responsabilizado diretamente pelo vazamento de dados, o problema é demonstrar que a origem da obtenção dos dados foi essa”, explica o advogado especializado em direito de informática Marcel Leonardi. “É caso de atuação do Ministério Público Federal, exigir a correção imediata do sistema para impedir novos vazamentos e indenização para o fundo de direitos difusos”.
Segundo o advogado, não há recursos no sistema jurídico atual para obter indenização por violações individuais de privacidade em casos de vazamento em massa. Há um novo anteprojeto de lei sobre dados pessoais, porém ele ainda está em fase inicial de debate.
A polícia está investigando o caso e o Centro de Tratamento de Incidentes de Segurança do Governo Federal também foi notificado.A página que vaza os dados foi tirada do ar.
Matéria retirada do Site G1