Durante la semana pasada, varios medios de comunicación nacionales y extranjeros informaron sobre lo que se suponía que era la mayor filtración de datos en la historia de Brasil: un ciberdelincuente habría puesto sus manos en una base que contenía no menos de 220 millones de números de seguridad social, 40 millones de CNPJ e información detallada sobre 140 millones de vehículos registrados en las agencias estatales de tránsito.
La alerta inicial fue emitida por dfndr lab, el laboratorio de investigación de PSafe; Posteriormente, sitios web y blogs especializados en tecnología revelaron que el impacto del incidente sería mucho mayor que el inicialmente divulgado por la empresa, ya que La recopilación también incluiría detalles de personas como ingresos, dirección, profesión, posibles deudas con agencias de protección crediticia e incluso fotografías..
Pero, después de todo, ¿qué pasó realmente? LA El hackComo de costumbre, prefirió no comentar de inmediato y preparar el contenido solo después de que se hayan verificado ciertos hechos. Llevamos investigando el incidente desde la noche del pasado viernes (es decir, 22 de enero) y, tras una larga investigación, podemos confirmar que estamos ante una filtración realmente catastrófica y preocupante.
Ok, vayamos al principio
La alerta inicial emitida por el laboratorio dfndr no mencionó este hecho, pero la filtración en cuestión se identificó en RaidForum, un foro alojado en la superficie web destinado a comprar y vender bases de datos robadas (así como otros artículos específicos para la práctica del ciberdelito , incluidos exploits, tutoriales, etc.). El 14 de enero un usuario identificado solo como JustBR puso a disposición, sin cargo, una base de 223 millones de CPF.
La colección, que no tiene menos de 14 GB cuando se descomprime, solo tiene el número de documento, el nombre completo del ciudadano, el sexo y la fecha de nacimiento. Según el usuario del foro, la compilación se realizó en agosto de 2019 y “no forma parte de ninguna otra compilación conocida, siendo ofrecida exclusivamente por JustBR”. Sin embargo, esta base es solo una pequeña muestra de lo que puede hacer el criminal.
En otro tema publicado tres días antes, JustBR anunció, comercialmente, un servicio completo de recolección de datos teóricamente de Serasa Experian, el buró de crédito más famoso de Brasil. El estafador puso a disposición un archivo con ejemplos de datos que podría recopilar, tanto de personas físicas como jurídicas, advirtiendo, sin embargo, que el pedido mínimo sería de 500 dólares.
El anuncio vino con otra muestra, a la que The Hack tuvo el placer de tener acceso. La cantidad de información personal que JustBR dice que es capaz de recolectar (y da fe de esta capacidad con la muestra analizada) es impresionante, pudiendo dividirse en 37 categorías diferentes, debidamente organizadas en directorios dentro de la base muestral.
Contamos con CPF, RG, nombre completo, sexo, fecha de nacimiento, nombre de los padres, estado civil, año de actualización de datos, correo electrónico, dirección, ocupación, teléfonos, educación, estado civil, clase social, salario, otros ingresos, información sobre beneficios (Bolsa Família, FGTS, INSS), declaraciones de impuestos sobre la renta (IRPF), PIS, NIS, CNS, poder adquisitivo, puntaje de crédito y más.
Lo más interesante es que uno de los directorios de la muestra analizada se llama “Mosaic”, el nombre de la solución Serasa Experian que segmenta a la población brasileña en 11 grupos y 40 segmentos diferentes. En un archivo CSV, encontramos varios objetivos como “Experiencias urbanas de vida cómoda”, “Empleados de mediana edad de las grandes ciudades”, “En el corazón de la periferia”, “Masa de trabajadores urbanos” y “Pedazo de tierra”.
Además, encontramos documentos PDF con todo el material de comunicación oficial sobre las soluciones de Serasa para personas jurídicas. Estos PDF incluyen guías legítimas que lo ayudan a comprender el cálculo del puntaje de crédito, las segmentaciones en mosaico y los modelos de afinidad. (es decir, perfiles de consumo dentro y fuera de Internet de cada miembro de cada segmento).
¿Qué pasa con las entidades legales?
En el ámbito de los CNPJ, no tenemos una gama de información tan amplia; aun así, la cantidad de datos también es impresionante. Además del número de registro, tenemos acceso al teléfono, representante legal, correo electrónico de contacto, dirección, CNAE, capital social, clase de operación, puntaje de crédito, cheques sin fondos e incluso información fiscal sobre Simples Nacional.
¿Qué dice Serasa Experian?
Buscado por The Hack, Serasa Experian dijo que continúa investigando el caso, pero asegura que, hasta el momento, no hay evidencia de que la base haya sido exfiltrada de sus sistemas.. Consulte el posicionamiento de la empresa en su totalidad:
“Ha habido noticias en los medios de comunicación de que un hacker ofrece ilegalmente datos sobre ciudadanos brasileños en la web. Aunque el hacker afirma que parte de los datos provienen de Serasa, según nuestro análisis detallado hasta este punto, concluimos que Serasa no es la fuente. Tampoco vemos evidencia de que nuestros sistemas se hayan visto comprometidos.
Hemos realizado una investigación en profundidad que indica que no existe correspondencia entre los campos de las carpetas disponibles en la web con los campos de nuestros sistemas donde se carga Score Serasa, ni con Mosaic. Además, los datos que vimos incluyen elementos que ni siquiera tenemos en nuestros sistemas y los datos que afirman atribuirse a Serasa no coinciden con los datos de nuestros archivos.
Concluimos que esta es una afirmación infundada.
Continuamos monitoreando activamente la situación y contactamos a los reguladores para ayudarlos con cualquier pregunta que puedan tener con respecto a este asunto. Tenemos un fuerte compromiso de proteger la privacidad de los datos personales que procesamos y creemos que contamos con los sistemas de seguridad necesarios para ello “.
Las autoridades hablan
Una de las primeras entidades en comentar la filtración fue la Fundación de Defensa y Protección al Consumidor de São Paulo (Procon-SP). En una nota enviada a The Hack, la agencia confirmó que había enviado una notificación a Serasa Experian para que la oficina explicara el incidente – así como posibles acciones para contener la difusión de los datos expuestos en la web.
“Esperaremos la respuesta de la empresa para analizar y evaluar las sanciones compatibles. Las sanciones previstas en la LGPD, que pueden llegar hasta los 50 millones, pueden aplicarse a partir de agosto, pero Procon-SP puede multar según el Código de Protección al Consumidor (CDC) ”, comentó el director ejecutivo de Procon-SP, Fernando. Capez. Serasa tendría que responder hasta este último sábado (30).
Además, el miércoles (27), el equipo editorial de The Hack se puso en contacto con el director de la Autoridad Nacional de Protección de Datos (ANPD), Arthur Pereira Sabbat, sobre la posición de la agencia al respecto. Sabbat respondió inicialmente diciendo que la autoridad aún no tenía nada que compartir sobre el incidente; más tarde, sin embargo, La ANPD dijo que ya estaba investigando el caso para descubrir el origen de la filtración., la forma en que ocurrió, las medidas de contención y las posibles consecuencias del incumplimiento.
La pasividad de la ANPD animó al Colegio de Abogados de Brasil (OAB) a enviar una carta el jueves (28) pidiendo urgencia en la investigación. “El hecho somete a prácticamente toda la población brasileña a un escenario de grave riesgo personal y violación irreparable de la privacidad y necesita ser investigado a fondo por las autoridades competentes, en particular por este organismo”, destaca la misiva.
La Secretaría Nacional del Consumidor (Senacon) también ha iniciado una investigación para investigar el incidente.
Todo cuidado es poco
Según un informe de G1, Es posible que los delincuentes ya estén utilizando los datos filtrados para realizar estafas., incluidos retiros ilegales de saldos FGTS a través de la aplicación Caixa Tem. The Hack aconseja cautela a toda la población brasileña mientras las autoridades investigan el incidente; Compruebe con frecuencia su saldo de beneficios laborales y sociales y duplique su atención con estafas de phishing.
See the original post at: https://thehack.com.br/investigamos-tudo-o-que-voce-queria-saber-sobre-o-vazamento-de-220-milhoes-de-cpfs/?rand=59189
