Exclusivo: os detalhes do vazamento sobre 100 milhões de veículos no BrasilO que fazer em caso de vazamento de dados pessoais?
Como funciona o site Fui Vazado?
Conforme revelado pelo Tecnoblog, os dados vazados estão à venda na dark web e na internet aberta, com pagamento apenas em bitcoin e preços que variavam de US$ 0,075 a US$ 1 por CPF (dependendo da quantidade comprada). Para ter maior credibilidade, o vendedor ofereceu uma amostra grátis de todas as 37 categorias, incluindo e-mail, telefone, endereço, RG, título de eleitor, situação na Receita Federal, emprego, foto de rosto, devedores, renda, INSS, FGTS, entre outros. Alguns CPFs não têm dados para determinadas categorias: por exemplo, apenas uma parcela dos brasileiros recebe auxílio do INSS. Por isso, o vendedor mostra em uma lista enorme as informações que possui de cada CPF, como é possível ver na imagem abaixo: O símbolo • indica quais dados foram expostos sobre determinado CPF; caso contrário, aparece o símbolo ×. Os números na parte superior correspondem às 37 categorias diferentes no vazamento: 01 corresponde a “básico” (nome, gênero, nome do pai e da mãe); 02 é “e-mail”; 03 é “telefone”; e assim vai. Não é necessário ter a amostra grátis do vazamento para conseguir acesso a essa lista, porque ela era oferecida (também de graça) como um download separado. Além disso, há a lista de 223 milhões de CPFs com data de nascimento e nome completo que foi liberada na íntegra sem qualquer custo. Allan está usando esses arquivos de texto para informar quais dados foram vazados de cada pessoa, sem revelar as informações em si:
Fui Vazado abre código-fonte e responde a dúvidas
Após vários pedidos, Allan divulgou o código-fonte do site no GitHub. Ele basicamente faz uma consulta na lista divulgada pelo hacker – que mencionamos acima – para saber quais dados estão no vazamento completo. O desenvolvedor usou PHP para a fazer a consulta em um banco de dados MongoDB. É necessário ter nome de usuário e senha para acessar essas informações, algo que Allan não divulgou. “O banco de dados e os arquivos CSVs para a geração dele não serão liberados, esse código é apenas para mostrar a funcionalidade do site”, ele explica no GitHub. Ainda assim, há quem desconfie do Fui Vazado. “Eu não sei exatamente o que dizer pra quem não confia, eu fiz o site porque eu acho que todos tem o direito de saber se seus dados vazaram”, afirma Allan ao Tecnoblog. Desde que o site foi lançado, Allan conta que “tem bastante gente elogiando o trabalho”, mas ele vem recebendo basicamente dois tipos de dúvidas:
o site é legitimo, não está somente coletando dados? O desenvolvedor explica que “o site não armazena os dados das consultas, e apenas consulta dados já vazados”.as informações serão vendidas? O desenvolvedor comercializa a base de dados? “Eu explico que somente tenho os indicativos que os dados vazaram, não os dados em si”, diz Allan.
Fui Vazado não registra histórico de consultas
Allan Fernando afirma ao Tecnoblog que criou o Fui Vazado devido à própria dificuldade em saber se os próprios dados vazaram. “Todo o desenvolvimento foi feito somente por mim”, ele afirma. Nos últimos dias, ele migrou de servidor e de banco de dados para aguentar a alta demanda. A principal ajuda está sendo na forma de doações para manter o site: “tem bastante gente doando, isso ainda não cobre todos os custos mas já ajuda bastante”. Ele conta que o total de acessos únicos chega a 700 mil, “então imagino que de consultas já esteja perto de 1 milhão ou até passado disso”. Segundo Allan, não há como saber o número exato de consultas porque não há nenhum sistema de log registrando o histórico disso, nem mesmo o CPF e data de nascimento inseridos para a consulta; ele afirma ter somente os dados da CloudFlare sobre IPs de acesso. Perguntamos se seria possível incluir só parte do CPF para a consulta, em vez do número inteiro, validando isso com a data de nascimento. Allan argumenta que “uma consulta desse tipo exigiria mais do banco de dados, que já se encontra sobrecarregado”; e afirma que, pela quantidade de dados, duas pessoas podem ter a mesma data de nascimento e a mesma parte de CPF. E quanto à possibilidade de usar um validador, em vez do número de CPF? “Ninguém conversou comigo” sobre isso, diz Allan. “Uma maneira que conheço de validar isso seria com o e-CPF, mas isso é algo caro e que poucos tem, o que dificultaria o acesso da maioria das pessoas ao site.”
O que pode melhorar no Fui Vazado?
Para Gustavo Gus, especialista em segurança da informação e líder de comunidade do Projeto Tor, o Fui Vazado precisa implementar pelo menos três melhorias. A primeira seria ter um formulário de opt-out: ou seja, a opção de impedir consultas no site com seu número de CPF. “Eu sei que é segurança por obscuridade, mas ninguém deu consentimento para utilização dos dados na plataforma”, ele escreve no Twitter. Outra sugestão é adicionar uma política de privacidade. E, principalmente, a plataforma deveria proteger os dados através de algoritmos hash e salt, em vez de armazená-los em texto puro. Isso significa usar uma função para converter cada CPF em uma sequência de caracteres. Dessa forma, se alguém conseguir acesso indevido à base de dados, não teria como saber a qual pessoa eles pertencem. Isso exigiria mais recursos do site, que já está com um volume alto de acessos, mas Gustavo argumenta ao Tecnoblog: “para fazer uma plataforma de consultas, o desenvolvedor precisa colocar recursos para conseguir escalar [expandir]; entendo que é trabalho voluntário, mas precisamos de boas práticas de segurança”. Diego Aranha, professor de ciência da computação na Universidade Aarhus (Dinamarca), dá algumas sugestões de como melhorar a privacidade. Uma delas é a função de hash com penalidade, que obriga cada consulta a gastar um tempo de computação no dispositivo do usuário. Dessa forma, “alguém que esteja tentando minerar a base vai ter uma penalidade maior para fazer isso em escala”. Outra possibilidade é uma tecnologia que já foi usada pelo Google, chamada protocolo criptográfico de intersecção privada de conjuntos. Aqui, o servidor criptografa a base de uma maneira que permite consultas, mas destrói a base original. Claro, isso “depende de confiança no servidor em apagar de fato a base sensível”, ele explica ao Tecnoblog.
Fui Vazado “pode ser convertido em serviço público”
Rafael Zanatta, diretor da Associação Data Privacy Brasil de Pesquisa, diz no Twitter que “o projeto do Allan pode ser convertido em serviço público dentro de um plano de contingência estratégico”. Ele defende que “o Ministério da Justiça deveria, no mínimo, construir algo a partir do projeto e do código aberto dele”. Ao Tecnoblog, Zanatta explica que o Ministério da Justiça conta com os recursos do FDD (Fundo de Direitos Difusos) e por isso estaria mais capacitado pra criar esse tipo de projeto experimental. A ANPD (Autoridade Nacional de Proteção de Dados), por outro lado, teria recursos mais escassos, orçamento curto e pouca gente. Para transformar o Fui Vazado como serviço público, seria possível emitir uma portaria iniciando o grupo de trabalho e convidando especialistas do Brasil inteiro para o projeto. Zanatta vê o projeto do Allan como “um caso de inovação cívica” que deveria ser inspiração para o governo. Além disso, seria necessário romper com a ideia de que a responsabilidade é só de cada um. Ele cita Julie E. Cohen, professora de direito na Georgetown University: ela vem defendendo há anos que não é possível proteger a privacidade focando apenas em cada indivíduo. Para Zanatta, as pessoas precisam de apoio do poder público: links para o Fui Vazado e para notícias sobre o vazamento passaram a circular com força em grupos de WhatsApp, mas as pessoas estão se sentindo à deriva, sem saber o que fazer. Como exemplo, ele menciona o IdentifyTheft.gov, mantido pelo governo dos EUA, que ajuda vítimas de falsidade ideológica.