- Entendendo as Categorias
- Dados Básicos
- Correio Eletrônico
- Dados Telefônicos
- Endereços e Domicílios
- Vínculos Familiares
- Segmentação Mosaic
- Ocupação e Escolaridade
- Dados do Emprego
- Dados Empresariais
- Escore de Crédito
- Cheques Sem Fundos
- Número da Identidade
- Fotos de Rosto
- Dados Eleitorais
- Dados da Receita Federal
- Devedores Federais
- Dados de Classe Social
- Declarações de IRPF
- Modelo de Afinidade
- Poder Aquisitivo
- Dados de Cadastros Sociais
- Benefícios do INSS
- Informações do SUS
- Dados de Universitários
- Conselhos de Classe
- Isso Pode Ainda Piorar?
- Que Podemos Fazer?
Recentemente ocorreu o vazamento dos dados de mais de 220 milhões de cidadãos brasileiros, vivos e mortos, e de algumas dezenas de milhões de empresas. Não se sabe qual a origem do vazamento, e há indícios de que vazaram dados de múltiplos bancos de dados, governamentais e privados, expondo de uma maneira absurda todos os dados possíveis e imagináveis, a ponto de especialistas em segurança terem apelidado o caso de “vazamento do fim do mundo”. Este artigo não tem por objetivo discutir os aspectos técnicos do vazamento e nem discutir as possíveis culpas, mas, em vez disso, tentar tangibilizar para o público leigo algumas das possíveis consequências do que houve. Ou seja, vou tentar, dentro de minhas limitações, lhe fazer entender os riscos que todos estamos correndo, se for verdade que vazaram os dados que foram elencados como vazados. Recomendo fortemente que você esteja sentado e que, se tem problemas cardíacos, tome seu remédio antes de ler.
As informações sobre o vazamento foram obtidas do site FuiVazado.com.br e do TecnoBlog.net
Entendendo as Categorias
Conforme o referido site, vazaram dados pertencentes a diversas categorias, envolvendo informações cadastrais, econômicas, financeiras, profissionais, educacionais e comportamentais. Estas categorias parecem se referir às diferentes possíveis origens dos dados: alguns dos dados claramente vazaram do SERASA, outros podem ter vazado da Receita Federal, outros vazaram da Caixa Econômica Federal, etc.
Não se sabe se esses dados vazaram diretamente dessas empresas/órgãos ou se vazaram de alguma empresa/órgão com que foram compartilhados. Provavelmente nunca se saberá porque “filho feio não tem pai” e porque os envolvidos estarão a esta altura, provavelmente envidando mais esforços para esconder suas responsabilidades do que para tentar combater o ocorrido. Ainda mais que, pelo que se sabe, já é muito tarde para tentar combater, visto que os dados já estavam em circulação no submundo do crime há muitos meses e já haviam sido até mesmo compilados em bases de dados vendidos na Deep Web.
Nem todos os dados foram vazados para todo mundo. Para algumas pessoas, somente os dados básicos foram vazados. Para outras, tudo foi vazado. O pânico é justificado, mas você nunca realmente saberá quais dados seus estão agora na mão de golpistas, estelionatários, empresas de telefonia celular e escritórios de telemarketing. Todos terão acesso irrestrito a seus dados e se igualarão pelo simples ato de fazerem uso destas informações para assediá-lo em negócios.
Dados Básicos
Esses dados são os menos sensíveis e os mais fáceis de obter mesmo sem vazamento. A origem provável desses dados é a base de dados do Cadastro Nacional da Pessoa Física, da Secretaria da Receita Federal. Estamos aqui falando de nome completo, número do CPF, data de nascimento, sexo, nome dos pais e estado civil.
Houve também vazamento do SISOBI, a base de dados de registro de óbitos do INSS e da SRF. Com isto a base de dados pode ser refinada para excluir os mortos.
O que dá para se fazer com essas informações? Relativamente pouca coisa. Podem ser usados para criar identidades digitais falsas, mas o possível dano é pequeno em relação ao grande esforço necessário para obter lucro. Esses dados são mais úteis se você for uma pessoa visada, como um político ou celebridade. Nesse caso, a criação de identidades digitais falsas pode trazer incômodos e até prejuízos.
Falando especificamente dos dados do SISOBI, os dados podem ser utilizados para identificar os herdeiros para oferecer serviços falsos em relação aos inventários (nos casos de bens a inventariar) ou cobrar dívidas deixadas pelos falecidos.
Correio Eletrônico
Esses dados estão entre os mais difíceis de compilar, mas são o “Santo Graal” dos fraudadores digitais. Costumam ser coletados em formulários de inscrição online e avaliados pelos spammers com base na efetividade das campanhas de envio. Provavelmente já tinham sido objeto de vazamentos anteriores (este de agora só confirmou e reforçou vazamentos de antes). Estamos aqui falando de cinco coisas seu(s) endereço(s) de e-mail, tipo de endereço (pessoal ou corporativo), unicidade (se este endereço é usado somente por seu CPF ou se repete em outros), peso do endereço (se é o e-mail principal) e nível de entrega (a probabilidade de leitura por você de uma mensagem enviada para este e-mail)
O que dá para se fazer com essas informações? Basicamente você vai começar a receber muito spam. Combinando com os dados básicos, pílulas para aumentar seu pênis agora só serão enviadas para endereços pessoais de homens solteiros jovens, por exemplo.
Dados Telefônicos
Esses dados também costumam ser coletados on-line, por diversos meios, e avaliados por spammers e empresas de telemarketing com base na efetividade das campanhas. Estes dados provavelmente foram vazados de várias fontes. Estamos falando do seu número de telefone com DDD, o tipo do telefone (fixo ou móvel), unicidade (vide item anterior), a classificação da linha (residencial ou comercial, próprio ou de recado), provedor (empresa de telefonia), plano (pré-pago, pós-pago, corporativo), localização da linha (cidade e estado).
O que dá para se fazer com essas informações? Aqui a coisa começa a ficar realmente invasiva. Scammers e empresas de telemarketing poderão abordar você em seu telefone com maior facilidade. Agora as diversas empresas de telefonia poderão atacar as bases de usuários das outras, convidando-os a migrar. Você poderá receber ligações de desconhecidos para quem você nunca forneceu seu número pessoal. Bancos onde você nunca abriu conta vão te ligar, convidando-o a ser cliente. Escritórios de telemarketing o convidarão a doar para sociedades filantrópicas (ou pilantrópicas) de que você nunca ouviu falar. A menos que você troque seus números de telefone nos próximos meses, você nunca mais terá paz.
Importante: uma das primeiras utilizações nefastas destes dados parece ter sido o golpe do roubo do perfil de WhatsApp, que está rolando há semanas. Salafrários entram em contato por WhatsApp e conseguem transferir a conta para outro aparelho. Então esta conta sequestrada pode ser usada para aplicar golpes sem que o verdadeiro golpista dê as caras. As vítimas acabam denunciando outras vítimas.
Endereços e Domicílios
Se você já achava invasivo desconhecidos saberem seu e-mail e seu número de telefone, que tal eles também saberem de seu endereço residencial? Graças ao vazamento, quem tiver acesso à base de dados saberá rua, número, tipo de unidade (casa ou apartamento), bairro, cidade, estado e tipo de endereço (residencial ou comercial, próprio ou alugado, individual ou familiar). Não somente do responsável/proprietário, mas de todos que residam no mesmo imóvel e tenham tido seus dados vazados.
O que dá para se fazer com essas informações? Agora você poderá sofrer ameaças de bandidos virtuais em seu próprio lar! Caso tente resistir a algum golpe telefônico, os bandidos poderão dizer que sabem onde você mora e ameaçar a sua família. Em casos de maior potencial lucrativo, podem simplesmente ir até você (ou membros de sua família que residam em outro endereço). Ficou muito mais fácil planejar sequestros (com uso de dados de outras categorias que veremos mais à frente) e intimidar pessoas. O que antes só estava ao alcance dos órgãos de segurança, agora está nas mãos de qualquer quadrilha de fundo de quintal que tenha condições de comprar a base de dados das mãos de algum “hácker” na internet.
Vínculos Familiares
Esta é uma das informações mais invasivas. Nem tenho ideia de onde isso possa ter surgido, mas a verdade é que o vazamento inclui uma verdadeira árvore genealógica da população brasileira, indicando os graus de parentesco: Mãe, pai, filho/a, irmã/o, cônjuge, avô/ó, neto/a, tio/a, sobrinho/a, primo/a, sogra. Embora o vazamento não seja completo para todo mundo, a validação cruzada permite extrapolar que se X é filho de Y, então Y é pai de X.
O que dá para fazer com essas informações? Muitas coisas, algumas até nojentas de se imaginar. De imediato, me ocorre que poderão insistir em um golpe contra membros de uma mesma família que residam separados mas que, teoricamente, tenham acesso aos mesmos recursos econômicos.
Segmentação Mosaic
O Mosaic é uma base de dados do SERASA, compilada por inteligência artificial, e que segmenta toda a população brasileira com diversos recortes comportamentais, econômicos e culturais. O nível de detalhe desta base de dados é uma coisa de ficção científica e o vazamento disto para as mãos de bandidos é uma falha imperdoável. Se o Brasil tivesse governo, a SERASA teria de sofrer uma multa de bilhões de reais, uma multa suficiente para falir a empresa, porque o grau de dano que isso trará à economia nacional e à vida pessoal dos brasileiros é simplesmente incalculável. Se você duvida e acha que estou sendo um alarmista, leia o que a própria SERASA explica sobre o Mosaic. O link acima é para um serviço de hospedagem de arquivos porque o próprio PDF que explica o que é o Mosaic e para que serve parece ter sido parte do vazamento de dados. Ou seja: vazou para o mundo do crime uma base de dados sobre nós que nós nem sabíamos que existia!
Antes de passar a explicar o que pode ser feito com a base Mosaic, uma breve descrição (com base no PDF acima) do tipo de informação que se encontra nesse famigerado arquivo: a) Dados socioeconômicos e comportamentais: classe social, ocupação (ramo de atividade econômica), dados societários (participação em empresas), dados empresariais (informações das empresas em que tenha participação), nível de escolaridade e dados de consumo e estilo de vida; b) Dados demográficos: informação do domicílio, perfil populacional, características da unidade familiar; c) Dados de propriedade: serviços, tecnologia, residência; d) Dados financeiros: assistência governamental, renda presumida, comportamento financeiro; e) Dados de localidade: urbanização, zona rural, acessibilidade e infraestrutura
O que dá para fazer com esses dados? O vazamento dos dados Mosaic, por si só, já merece o título de “vazamento do fim do mundo” porque não é preciso ser muito inteligente para imaginar milhares de maneiras para utilizar estas informações para o crime. Basicamente, o vazamento significa que os criminosos poderão “segmentar” suas vítimas conforme classe social, por exemplo. Poderão selecionar a quem vão assaltar com base no valor dos bens que esperam encontrar na residência (item tecnologia e também dados de consumo) ou na capacidade da pessoa para pagar um sequestro com base em sua renda presumida e/ou classe social. Eles já não precisarão de toda uma engenharia social para descobrir se você tem filhos (com base em dados de itens anteriores) e se eles vivem com você. O golpe do falso sequestro ficará muito mais crível, por exemplo.
Ações avançadas de telemarketing, que só estavam disponíveis para grandes empresas, que tinham acesso a sofisticados softwares de Consumer Relationship Management agora estão ao alcance do PCC, do Comando Vermelho e de toda sorte de picaretas e vigaristas pé-de-chinelo.
Ocupação e Escolaridade
O vazamento inclui dados sobre sua ocupação e o nível hierárquico que você ocupa no seu emprego atual. Isso pode ser usado para avaliar o seu nível de decisão na empresa em que atua, a fim de determinar se vale ou não a pena fazer pressão sobre você (inclusive ameaças) a fim de obter acessos e vantagens contra a sua empresa. Pode também ser usado para avaliar sua capacidade econômica na hora de escolher um alvo para fraude ou sequestro.
O dado de escolaridade se refere apenas ao nível de estudos (analfabeto, fundamental, médio, superior ou pós-graduação), mas é uma informação útil para complementar a sua “segmentação”.
Dados do Emprego
Possivelmente originário da base de dados do CAGED e/ou do FGTS, esses dados incluem algumas repetições (informações presentes em outras categorias do vazamento); como nome completo, sexo, data de nascimento e CNPJ do empregador; mas acrescenta detalhes como número do PIS/PASEP/NIT, número da Carteira de Trabalho, ano de cadastramento nos respectivos programas, tipo de vínculo de emprego (CLT ou estatutário), CBO (identificação da ocupação no Catálogo Brasileiro de Ocupações), data de admissão no emprego, tipo de admissão (temporária ou não), salário contratual, tipo de salário (fixo ou variável) e horas por semana.
No caso de servidores públicos; vazaram nome completo, cargo, organização, renda bruta, status de afastamento de CBO. Algumas destas informações já eram disponibilizadas no Portal da Transparência.
Curiosamente, vazou também o perfil LinkedIn de muitas pessoas. Isto dá a entender que esta empresa pode ter sido uma das origens do vazamento. Pode ser que o LinkedIn tenha tido acesso a algumas destas bases de dados para montar sua rede de contatos e validar as informações prestadas pelos usuários… Será possível que uma rede social estrangeira teve acesso a todos esses dados?
O que dá para fazer com esses dados? Em termos de possibilidade de negócios/fraudes, basicamente refinar sua “segmentação”. Há, porém, uma outra possível utilização que é muito mais chocante: esses dados podem ser usados para retaliação. Imagine se você desagrada alguém e essa pessoa, sabendo onde você trabalha e qual seu grau de vulnerabilidade, pressiona seu empregador a demiti-lo…
Dados Empresariais
Aqui falamos de sua participação em empresas (informação já vazada em outras categorias), mads com detalhes da empresa de que você participa: CNPJ, razão social, nome de fantasia e sua porcentagem de participação como sócio. Trata-se de uma informação provavelmente originária da base de dados o Cadastro Nacional da Pessoa Jurídica da Secretaria da Receita Federal.
Estes dados permitem, novamente, avaliar seu poder de decisão na empresa e também a sua capacidade econômica, para “segmentá-lo” como possível vítima de crimes.
Escore de Crédito
Outro vazamento que possivelmente surgiu da SERASA, o escore de crédito é uma avaliação da sua idoneidade e capacidade de pagamento com base no seu histórico de compras e de quitação de prestações, atribuindo notas de 2 a 1000 (quanto maior, melhor).
Embora os dados do escore de crédito se tornem menos confiáveis com o passar do tempo (a exemplo dos dados do Mosaic), este vazamento permitirá que empresas concorrentes da SERASA (e também o crime organizado) desenvolvam suas próprias metodologias de “scoring”. O segredo comercial da SERASA deixou de existir com este vazamento.
O que dá para fazer com esses dados? Pessoas com escore de crédito muito alto correspondem a pessoas que utilizam crédito com frequência e que nunca atrasam seus pagamentos. São o público ideal para contratar mais empréstimos e mais cartões de crédito, caso a sua renda/classe social permitam. Pode esperar que você vai receber, se tiver um bom escore, uma quantidade absurdas de ofertas de produtos de crédito e financiamento ao longo dos próximos meses e anos. Além disso, esses CPF podem ser usados em compras fraudulentas, já que um bom escore de crédito costuma dispensar certas verificações feitas pelos vendedores. Aumentará, nos próximos meses e anos, a possibilidade de compras indevidas e empréstimos não solicitados em seu nome.
Cheques Sem Fundos
Informação provavelmente originária do BACEN, a inscrição no CCF (Cadastro de Emitentes de Cheques Sem Fundos) inclui a data da inscrição, o número código do Banco, o prefixo da agência e os dados do cheque (número e valor).
O que dá para fazer com esses dados? Inúmeros incautos ainda usam cheques para fazer pagamentos a prazo. O cheque é o meio de pagamento mais inseguro que existe e o mais sujeito a fraudes. Com base nestes dados, estelionatários poderão ligar para as pessoas que estão no CCF, identificar-se como os supostos beneficiários finais dos cheques e solicitar o pagamento para enviarem o cheque.
Isto é possível porque muitos comerciantes (e até pessoas físicas), pensando em sonegar impostos, não sacam os cheques, mas os utilizam para pagar compromissos. A transferência dos cheques por simples tradição (ou seja, “de mão em mão”) faz com que um cheque possa ir parar em uma cidade a milhares de quilômetros de distância, na mão de uma pessoa que o emitente nem sabe quem é. Desta forma, se ocorrer uma inscrição no CCF por dupla devolução, o emitente pode não ter como pagar a pendência por simplesmente não saber a quem. Os bancos, conforme o regulamento do BACEN, só podem retirar a pessoa do CCF se o cheque original for apresentado (como prova de que a dívida foi quitada) ou se o emitente apresentar recibo assinado pelo beneficiário e certidão negativa do cartório de protesto. Esta “burocracia” (que só existe porque o cheque é um meio de pagamento obsoleto, que as pessoas insistem em usar porque são tolas ou porque querem sonegar) abre a porta para golpes como o que eu descrevi acima.
Número da Identidade
A Cédula de Identidade; ou “RG”, como é chamada em certos estados; é um dado sensível que pode ser usado para diversos tipos de fraudes. Conhecendo o número da Identidade associada a um CPF, fica mais fácil abrir empresas, alugar imóveis, financiar bens, contrair empréstimos, abrir contas bancárias e cometer toda sorte de ilegalidades. Pode-se, inclusive, criar documentos frios com a finalidade de desviar para pessoas inocentes a culpa de bandidos pegos em flagrante. Agora os documentos falsos ficarão mais difíceis de detectar, porque poderão ter todos os dados corretos da pessoa a quem aquele número pertence.
Fotos de Rosto
Para dezenas de milhões de brasileiros, fotos de seus rostos, obtidas das bases de dados de identidade ou de outras origens, estão nas mãos de criminosos. Além de saberem onde você vive, onde trabalha e quanto ganha; eles também poderão identificá-lo quando o virem na rua! Poderão, também, usar esta foto para criar cópias quase perfeitas de seus documentos originais de identidade, e assim cometer fraudes e outros crimes usando o seu nome. Amanhã ou depois você poderá se descobrir dono de empresas (ou de gigantescas dívidas), ou poderá ser preso por crimes que não cometeu.
Dados Eleitorais
Este vazamento, que seguramente partiu do TSE ou de algum TRE, contém dados repetidos de outras categorias (como o nome completo, a data de nascimento, o nome da mãe) e os dados eleitorais básicos do indivíduo (número do título, zona, seção, endereço, município e estado). Os dados repetidos servem para validar de forma cruzada os dados obtidos.
O que dá para fazer com esses dados? Partidos políticos nada éticos poderão filiar você sem o seu conhecimento e utilizá-lo como “laranja” em suas falcatruas eleitorais. No entanto, a principal utilidade desta categoria de dados é validar a identificação da pessoa e obter mais certeza sobre o cruzamento de dados.
Dados da Receita Federal
Estes dados se referem às certidões e registros emitidos pela SRF, permitindo validar documentos importantes; como a “Certidão Negativa de Débitos Relativos aos Tributos Federais e à Dívida Ativa da União”, a “Certidão de Débitos Relativos a Tributos Federais e à Dívida Ativa da União de Imóvel Rural” e outras. O código de controle da certidão permite que ela seja validada online no site da SRF.
O que dá para fazer com esses dados? Com estes dados é possível saber se sua casa ou propriedade rural tem pendências de impostos ou medidas judiciais e se está em situação que permite a alienação. Isto permite a um possível golpista saber se seu imóvel pode ser alienado (ou seja, dado em garantia de empréstimo ou mesmo transferido a outra pessoa).
Devedores Federais
Mas se a Certidão Negativa não for emitida, isto quer dizer que o CPF pode ter uma pendência com a União. O vazamento, então, inclui a informação de dívidas de impostos federais, contribuição à previdência oficial (INSS) e ao Fundo de Garantia por Tempo de Serviço (FGTS).
O que dá para fazer com esses dados? Golpistas podem fingir ser servidores da SRF e ligar para os devedores oferecendo “parcelamento” das dívidas.
Com os dados do FGTS, fraudadores poderão sacar o saldo de contas paralisadas e utilizá-los — além de utilizá-los fraudulentamente de outras maneiras que nem consigo imaginar.
Um número do CNIS (Cadastro Nacional de Informações Sociais) também foi vazado e pode ser usado para obter informações sobre quanto tempo falta para você aposentar.
Dados de Classe Social
Difícil até imaginar de onde podem ter saído estes dados, que classificam cada CPF conforme seu perfil socioeconômico em detalhe (classe social e subclasse). Estas informações repetem dados obtidos em outras categorias do vazamento (como o Mosaic), permitindo validar aquela base dados por esta, ou esta por aquela, e assim facilitando completar dados sobre quem só está em uma delas. Ou seja, se em 90% dos casos as duas listas conferem quanto à classificação econômica, provavelmente estará correta a informação sobre quem só está em uma delas.
O que dá para fazer com esses dados? Aumentar a abrangência e precisão das informações coletadas pelo Mosaic e pelo escore de crédito, aprofundando o entendimento de cada pessoa e do conjunto da sociedade.
Declarações de IRPF
Aqui a coisa fica séria, e novamente parece envolver um vazamento da SRF. Vazaram declarações de imposto de renda de milhões de brasileiros. Como esses dados são sigilosos e são objeto de sigilo fiscal/tributário, não deveriam ser compartilhados com ninguém. Ou hackearam a SRF ou ela estava indevidamente compartilhando dados dos contribuintes brasileiros.
Felizmente, não vazou o conteúdo propriamente dito das declarações mas apenas os dados referentes aos lotes de restituição do IRPF: nome da instituição bancária receptora, código da agência, lote de restituição, ano de referência, situação da declaração. O problema é que o simples fato de alguém estar nesta lista indica que:
- tem renda acima do limite de isenção (atualmente R$ 1.800,00)
- teve algum recebimento expressivo no ano anterior (caso de pessoas que só tiveram restituição em um ano fiscal recente)
- fez diversos pagamentos planos de saúde, profissionais liberais, escolas particulares etc. Hábitos que evidenciam alto poder aquisitivo.
Modelo de Afinidade
Outra informação originária do SERASA, o modelo de afinidade é uma tentativa de avaliar a probabilidade de aquisição de certo produto ou serviço conforme o perfil do consumidor. Você pode encontrar mais informações sobre o modelo neste arquivo vazado.
Os cidadãos são divididos em grupos de afinidade para que as empresas interessadas em vender seus produtos possam direcionar suas ofertas. Por exemplo, não adianta querer vender automóvel para quem não sabe dirigir, ou cerveja para quem é abstêmio por razões religiosas. Este é mais um caso de banco de dados de que nós nem tínhamos ideia que existisse de forma centralizada e que fosse partilhado entre diversas empresas. Eu mesmo conhecia o conceito, mas não sabia que as empresas compartilhavam suas análises com o SERASA e adquiriam de volta os dados consolidados.
O que dá para fazer com esses dados? Direcionar ofertas, inclusive ofertas fraudulentas, apenas a quem tem tendência a fechar negócio. Por um lado isto será até bom, porque você não vai mais receber ligações de operadores de telemarketing desesperados para lhe vender coisas que você jamais teve a ideia de comprar.
Poder Aquisitivo
Aqui temos uma série de informações pessoais e profissionais, como o salário bruto, as horas semanais de trabalho e a faixa de renda.
Com base nas informações econômicas obtidas acima, e no zoneamento econômico do país, calcula-se o poder aquisitivo da pessoa conforme o custo de vida em sua região. Isto permite saber quanto mais ou menos de seu salário ela poderia reservar para consumir.
O que dá para fazer com esses dados? Refinar a “segmentação” do indivíduo e determinar sua capacidade de suportar a compra de um bem novo ou, sei lá, o pagamento de uma extorsão ou de um resgate…
Dados de Cadastros Sociais
Dados do responsável, numero de dependentes, Número de Identificação Social - NIS, dados dos dependentes, situação do benefício, valor do benefício, cidade e UF. Com estes dados, além de validar dados anteriores, o golpista pode estabelecer a relação do CPF com outros CPF e descobrir conexões com pessoas que possam ser vítimas de golpes mais lucrativos do que meras fraudes contra miseráveis recebedores de Bolsa Família.
Além disso, os números do NIS, do PIS/PASEP e do FGTS podem ser utilizados para desvio de recursos destes fundos/programas e para contratar fraudulentamente financiamentos imobiliários em nome de terceiros.
Benefícios do INSS
Outro vazamento provavelmente originário de órgão governamental, este inclui o nome do segurado, a data de nascimento, número do benefício, tipo de benefício e data de início do benefício.
O que dá para fazer com esses dados? Tendo, a princípio, criado uma identidade falsa — o que é perfeitamente factível tendo todos os dados citados anteriormente — um farsante poderia contrair empréstimos consignados em nome dos aposentados, retirar o valor em uma conta fraudulentamente aberta e deixar o pobre aposentado com as prestações para pagar. Este seria o principal uso destes dados, mas haveria outras possibilidades menos agressivamente criminosas.
Informações do SUS
Como também vazou o número do CNS (Cartão Nacional de Saúde), o vazamento também pode ter incluído o Ministério da Saúde. Até o momento o que se sabe é vazou somente este número, mas podem ter vazado informações ainda mais sensíveis.
O que dá para fazer com esses dados? Muita gente tem o Cartão Nacional de Saúde, mas não utiliza o SUS com frequência. Mediante a confecção de uma identidade falsa (algo muito fácil de fazer utilizando os dados obtidos neste vazamento), poderia ser confeccionado um CNS clonado, permitindo que uma pessoa interessada em se manter no anonimato (como um criminoso procurado) pudesse obter atendimento médico gratuito através do sistema público de saúde sem chamar a atenção (a menos que todos os seus documentos fossem checados).
Na prática, a partir de agora o SUS será utilizado pelo crime organizado para tratar os seus “soldados” feridos em combate — e o contribuinte pagará a conta.
Dados de Universitários
Se você recentemente fez faculdade, os golpistas agora saberão em que instituição você estudou, que curso(s) completou, quando começou e quando terminou.
O que dá para fazer com esses dados? Selecionar profissões que tendem a proporcionar bom padrão de vida aos formados; como Medicina, Engenharia, Odontologia e, se os bandidos tiverem coragem, Direito…
Conselhos de Classe
Inacreditavelmente, todas as bases de dados de diversos conselhos de classe foram vazadas. Agora os bandidos cruzarão essas bases de dados com o nome completo e o número da cédula de identidade dos inscritos e descobrirão se estão ativos nas profissões em que se formaram, em que estado atuam e se estão atualmente empregados; entre outras informações.
O que dá para fazer com esses dados? Selecionar profissões que tendem a proporcionar bom padrão de vida aos formados; como Medicina, Engenharia, Odontologia e, se os bandidos tiverem coragem, Direito… Mais do que meramente atirar no escuro, esperando que todo médico tenha ficado rico, por exemplo, os bandidos poderão selecionar somente quem está atuando.
Isso Pode Ainda Piorar?
Sim, e vai. Hoje em dia os computadores pessoais já são capazes de executar um número imenso de operações por segundo, o que significa que uma máquina razoavelmente potente (talvez até a minha, que é um modesto Pentium i5 de 6ª Geração, com 8 GB de RAM) pode processar os dados existentes em uma base de dados com vários terabytes de extensão. Basta ter paciência e alguma capacidade para minerar estes dados, convertê-los em um formato mais fácil de “manusear” eletronicamente.
Nos próximos meses haverá muitos datacentres processando estes dados brutos. Alguns destes o farão em nome de empresas legítimas, que apenas estarão usando estes dados de origem espúria porque, em termos competitivos no mercado, não usá-los seria se trancar do lado de fora, seria se negar a utilizar uma vantagem competitiva. Todos os bancos, todas as empresas de telefonia, todas as financeiras, todas as fintechs, todas as lojas de departamentos. Não haverá nenhum santo imaculado que se negará a tocar estes dados. O que farão é segregar esse banco de dados em algum sistema supostamente seguro e separado, com fortes restrições de acesso, para fingirem que não os estão usando e manterem uma presunção de inocência.
O fato de serem dados obtidos de uma maneira criminosa não importa. Para o capitalismo, o crime é apenas um modelo de negócios que provoca a reação do Estado e da sociedade. Qualquer atividade que for legalizada será economicamente explorada. Se canibalismo não fosse crime, haveria açougues vendendo carne de gente. Então, é claro, esses dados serem de origem ilegal não impedirá que empresas legítimas os utilizem para incrementar sua efetividade. Isso pode soar ofensivo, mas é o menor de nossos problemas (mas não muito menor, aliás).
A questão é que nem todos os datacentres processando este vazamento pertencerão a empresas da economia legal. Entidades criminosas também o farão — e poderão fazê-lo justamente porque computadores são ridiculamente baratos. Na utilização dos dados, tecnicamente, a única diferença entre o PCC e uma financeira está na finalidade do uso. É até possível que os mesmos profissionais que debulharão os dados para uma empresa legítima o farão, fora do expediente, para uma máfia qualquer. Afinal, se foi possível vazar um banco de dados desse naipe, é muito mais possível bons profissionais de TI serem aliciados pelo PCC. Pelo amor (ao dinheiro) ou pela dor (ameaças e chantagens), como se diz…
Inclusive não é impossível que técnicas desenvolvidas no crime organizado sejam trazidas para o datacentre de uma empresa legítima (não citarei nomes aqui) ou vice-versa, simplesmente porque os mesmos profissionais transitarão entre os dois mundos. A tecnologia é neutra e os códigos do GitHub podem servir para um banco ou para um agiota.
Haverá, nos próximos meses e anos, um gigantesco esforço de mineração de dados, empregando recursos de maneira descentralizada em volume e poder muito maiores que o SERASA. Talvez, dentro de seis meses, o crime organizado tenha um sistema de escores de crédito mais avançado que o do SERASA ou dos bancos (se estes tiverem “nojinho” de trabalhar com esses dados criminosos).
O futuro é “cyberpunk” de um jeito que nunca sonhamos.
Que Podemos Fazer?
Enquanto indivíduos isoladamente, ficamos indefesos diante do volume do vazamento. Quaisquer medidas que tomemos para tapar algum dos buracos deixados em nossa privacidade será inútil porque os detentores das informações vazadas poderão nos encontrar de novo através dos dados que têm. Não adianta mudar de endereço, porque você passará alguma linha telefônica ou endereço comercial para o novo lar. Não adianta mudar o número de telefone, porque eles poderão obtê-lo em algum cadastro futuro e validá-lo pelos outros dados. Infelizmente, estamos definitivamente expostos por este vazamento e devemos, a partir de agora, ter o máximo cuidado em tudo que fizermos, a fim de não pagarmos dívidas que não contraímos. Temos de partir do pressuposto de que todos os nossos dados agora são de conhecimento de qualquer estelionatário. Nossa privacidade já não existe mais — e nunca voltará a existir.
O risco do roubo de identidade é real. Talvez nunca vejamos o apagamento de uma identidade, justamente porque os dados são replicáveis, mas o original não se destrói; mas veremos, certamente, um cenário em que a identidade virtual se tornará incerta e o próprio conceito de propriedade se tornará fluido. Amanhã você poderá acordar e descobrir que sua casa pertence a outra pessoa, terá dificuldade para provar quem você é, talvez perca o emprego por ter feito algo que não fez e talvez seja acusado de bigamia porque alguém usou seu nome para se casar.
O futuro é apavorante.
Mais apavorante ainda é saber que os responsáveis não serão identificados, nunca serão nomeados ao público em geral e jamais serão responsabilizados. Primeiro porque uma das fontes parece ser o próprio governo, segundo porque outra parece ser uma empresa multinacional poderosa e terceiro porque os perpetradores, não importa aonde estejam vinculados, certamente já se safaram, talvez até utilizando novas identidades criadas por meio dos dados vazados.
“Game Over” para a privacidade.