Procon-SP notifica Serasa por megavazamento de dados de brasileiros
O Procon de São Paulo informou nesta quinta-feira (28/01), ter notificado a empresa Serasa Experian pedindo explicações sobre o vazamento dos dados pessoais de mais de 223 milhões de brasileiros.
Na segunda-feira (25/01), a Secretaria Nacional do Consumidor (Senacon) notificou a empresa dando 15 dias para explicações sobre origem dos dados. A Serasa nega que seja a fonte dos dados.
O vazamento referente a dados de agosto de 2019, e descoberto na semana passada, inclui dados como nome, CPF, fotografia, salário, renda, nível de escolaridade, estado civil, pontuação de crédito, endereço, entre outros que tem sido divulgados e comercializados na internet.
“Além de solicitar a confirmação do incidente, o Procon-SP pede que a instituição informe os motivos que causaram o problema e quais providências tomou para contê-lo”, diz o órgão de defesa do consumidor em comunicado.
“A Serasa também deverá informar o que fará para reparar os danos decorrentes do vazamento desses dados e evitar que a falha volte a acontecer”.
O Procon-SP disse ainda que procura saber qual a finalidade e a base legal para o tratamento de dados pessoais pela Serasa Experian, bem como a política de descarte desses dados, por quanto tempo e por qual motivo ficam armazenados.
O diretor executivo do Procon-SP, Fernando Capez, disse que o órgão aguardará a resposta da empresa para “analisar e avaliar as penalidades compatíveis”.
As penas previstas na no Código de Defesa do Consumidor podem chegar a R$ 10 milhões.
Já as sanções previstas pela Lei Geral de Proteção de Dados (LGPD) podem chegar a R$ 50 milhões, mas só podem ser aplicadas a partir de agosto.
Procurada pelo Valor, a Serasa afirma que a alegação é infundada. “Embora o hacker afirme que parte dos dados veio da Serasa, com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos”, disse a empresa por e-mail na terça-feira (26/01).
Dados expostos
Pacotes de dados com informações pessoais de mais de 223 milhões de brasileiros apareceram em fóruns usados por criminosos digitais. Os dados estão separados por número de CPF e também estão acompanhados de informações de veículos cadastrados no Brasil.
São dois vazamentos separados. Um deles, que contém os dados dos veículos e informações limitadas de cada número do CPF, está em livre circulação na internet e disponível para download – basta conhecer um link ativo.
O outro vazamento, muito mais abrangente, está com distribuição mais limitada. Esse pacote inclui dados de escolaridade, benefícios do INSS e programas sociais (como o Bolsa Família), renda e score de crédito (que estima se uma pessoa é um bom pagador).
Os criminosos estão tentando vender os dados nesse pacote, e a oferta não cobre a integralidade dos dados – só é possível comprar trechos.
Para comprovar a autenticidade da oferta, os criminosos publicaram arquivos de “exemplo” com mil amostras de cada tipo de informação.
O número de cadastros no pacote supera a população brasileira (estimada em 212 milhões). Isso é possível porque os dados incluem CPFs de pessoas falecidas.
Não há, por outro lado, CPFs de pessoas nascidas em 2020 e não é possível afirmar que todas as pessoas nascidas antes de 2019 foram expostas.
Um terceiro conjunto de dados que está à venda contém informações sobre empresas, incluindo das mesmas informações atreladas ao CPF.
