Analise sobre o maior mega-vazamento do Brasil, atribuído ao Serasa

Artigo por Felipe Daragon e Syhunt Icy Team.

Graças às mais de 8.000 empresas que nos contataram após o artigo inicial e solicitaram mais informações sobre como foram expostas pelo vazamento. Enquanto esperamos pelos próximos movimentos das autoridades, continuamos a monitorar as notícias e atualizações sobre o vazamento. Abaixo você pode encontrar nossas principais descobertas e análises do vazamento.

A nossa análise

Por meio de nossa análise e participação de especialistas em uma série de artigos da mídia, ajudamos a destacar a dimensão do mega vazamento que expôs dados de quase todos os brasileiros em janeiro de 2021.

Concluímos que entre 673 GB e 873 GB (quase 1 TB) de dados sobre empresas e indivíduos brasileiros foram roubados em 2020 e compilados em um único arquivo, provavelmente de vários vazamentos que ocorreram ao longo do tempo. Como resultado, os principais detalhes de um total impressionante de 223 milhões de brasileiros e 40 milhões de empresas brasileiras foram expostos e estão sendo vendidos ativamente por cibercriminosos em fóruns da Internet e na Dark Web.

A pedido do jornal Estadão, analisamos o caso junto com o jornal. Revelamos uma análise de vários vazamentos, entre outros detalhes relevantes com a intenção de informar o público e as empresas e aumentar a conscientização sobre a escala preocupante do vazamento.

Dias depois, a publicação de um segundo artigo do Estadão levou o Supremo Tribunal Federal a ordenar uma investigação e o bloqueio do acesso às postagens e links do cibercriminoso. Desde então, está em andamento uma investigação das autoridades brasileiras.

Análises adicionais de Syhunt em parceria com o jornal revelaram que 1) as fotos do rosto no arquivo do cibercriminoso foram realmente copiadas da DivulgaCand e também que 2) meio milhão de números de celular corporativos foram expostos.

O vazamento em números

Após a solicitação do Estadão, processamos o catálogo e pequenas amostras publicadas pelo cibercriminoso, simuladas exportações individuais de CSV e realizamos uma variedade de cálculos matemáticos para confirmar as reivindicações do cibercriminoso, descobrimos uma “imagem” e estimamos de perto o tamanho total do vazamento e os bancos de dados nas mãos do cibercriminoso:

O vazamento em números: números de telefone

Total de números de telefone celular corporativo vazados em amostras – por estado

A fonte do vazamento

Nós nomeamos esse vazamento BLB20 (Big Leak do Brasil 2020), porque os dados do cibercriminoso estão atualizados até 2020. Muito tem sido especulado sobre a fonte do vazamento e provavelmente aprenderemos mais sobre isso à medida que a investigação das autoridades brasileiras, das empresas de segurança da informação e das organizações de mídia progredirem.

Parte dessa violação de dados pode ter sido um trabalho interno – realizado deliberada e maliciosamente por um funcionário da empresa, uma opinião compartilhada por muitos pesquisadores de segurança. Acreditamos que os cibercriminosos ou alguma empresa de análise compilaram vários vazamentos que aconteceram ao longo dos anos no único arquivo. Concluímos e depois o Estadão confirmou que as imagens de rosto no banco de dados foram copiadas do DivulgaCand da TSE, que parece confirmar a compilação de dados de múltiplos vazamentos e fontes.

O cibercriminoso se referiu ao seu arquivo como o banco de dados Serasa Experian. A Serasa Experian é uma grande empresa brasileira de pesquisa de crédito, mas a empresa afirmou que realizou uma investigação interna e os dados no arquivo vazado não correspondem aos dados encontrados no banco de dados da empresa.

Mais uma mega fuga? Em 10 de janeiro, surgiram relatos de um segundo mega vazamento, mas, embora venha de uma fonte credível que alertou sobre o primeiro vazamento, devido à falta de referências, não conseguimos confirmar o novo vazamento – essa análise e artigo é apenas sobre o primeiro vazamento.

CATEGORIAS DE INFORMAÇÕES

A seguir estão as categorias de informações reveladas no vazamento e o tamanho estimado de cada banco de dados individual:

Dados de Entidade Empresarial / Jurídico

Dados pessoais

• 01 – Básico: nome da pessoa, CPF, sexo, data de nascimento, nome do pai, nome da mãe, estado civil (casado, solteiro, divorciado, viúvo, outros)
• 02 – E-mail
• 03 – Telefone: Código de área, número, operador, plano, tipo de linha (fixo, pré-pago, pós-pago), data de instalação
• 04 – Endereço : endereço, número, bairro, cidade, estado, código postal, tipo (reidencial / comercial), famílias de latitude e longitude: CPF do chefe de família, número de pessoas, faixa de renda, ensino completo do endereço: nível (literato / elementar / técnico / superior etc.)
• 05 – Mosaico : grupo de segmentação e subgrupo
• 06 – Ocupação : posição, número CBO (Classificação Brasileira de Ocupações)
• 07 – Pontuação de Crédito : atividade de crédito, pontuação de risco, nível de risco (Baixo / Médio / Alto)
• 08 – RG (Cartão de Identidade)
• 09 – Título do eleitor: número de inscrição, zona, seção, endereço, município, estado
• 10 – Educação
• 11 – Empresa : nome do sócio de uma empresa, participação (ações e%), nome da empresa e nome comercial da empresa, CNPJ, data de entrada na empresa
• 12 – IRS: situação cadastral (regulação / suspensa / cancelada / titular falecido)
• 13 – Classe social : A1, A2, B1, B2, C1, C2, D, E
• 14 – Estado civil: casado, solteiro, divorciado, viúvo, outros
• 15 – Trabalho: CNPJ e nome corporativo do empregador, PIS/PASEP/NIT número, número CTPS, tipo de emprego (CLT, autônomo, servidor, aprendiz etc.), data de admissão, salário, horário de trabalho por semana
• 16 – Afinidade: nível de precisão, percentil
• Modelo Analítico: prevê a chance de o consumidor ter afinidade de comprar um produto ou serviço
• 18 – Poder de Compra : nível (baixo, médio, alto), renda, salário
• 19 – Fotos de Faces : 1.176,157 imagens JPEG com datas entre 2012 e 2020; o nome do arquivo é o CPF da pessoa correspondente
• 20 – Servos Públicos: descrição do trabalho, capacidade, exercício, rendimento bruto, estatuto, vínculo, remoção (Sim / Não)
• 21 – Cheques sem Fundos : código bancário e agência, razão (sem fundos / Conta encerrada)
• 22 – Os devedores: nome, tipo de devedor (principal, co-responsável), situação (activa, em cobrança, depositado), tipo de dívida (bem, imposto sobre o rendimento, PIS, etc.), montante, acabou em tribunal? (Sim / Não)
• 23 – Subvenção Familiar : montante, status de benefício (Evisionado / Bloqueado), status de benefício (Ativo / Inativo), número e nome dos dependentes, NIS (Número de Identificação Social)
• 24 – Universidade / Faculdade Sudents : 1.643,105 pessoas com nome da faculdade, curso, ano de entrada e ano de conclusão
• 25 – Advicers : 2.260.960 pessoas que prestam consultoria na esfera pública ou privada, incluindo situação, especialidade e código de ocupação
• 26 – Famílias : todas as pessoas que compartilham o mesmo endereço
• 27 – Family Bond: categoriza as pessoas de acordo com um primeiro grau (mãe, pai, filho, filha, irmão, irmã, cônjuge) ou segundo grau (avô, neto, tio, sobrinho, primo, etc.)
• 28 – LinkedIn : 5.051.553 perfis de redes sociais com número de ID e URL de acesso
• 29 – Salário: valor, tipo (mensal, quinzenal, semanalmente, etc.), horas por semana
• 30 – Rendimento: valor mensal (inclui salário, aluguel, juros, etc.), classe social (baixa, média, alta), faixa de renda
• 31 – Falhas: data de morte, idade, data da certidão de óbito, nome e endereço do cartório.
• 32 – IRPF (Imposto de Renda): nome da instituição bancária, código de agência, lote de reembolso
• 33 – INSS : nome do segurado, número de benefício, data de início, tipo (aposentadoria, pensão, maternidade, etc.)
• 34 – FGTS : Número PIS
• 35 – CNS (Cartão Nacional de Saúde)
• 36 – NIS (Número de Identificação Social)
• 37 – PIS / PASEP

Todos os conjuntos de dados – Aprox. Tamanho total: 500 – 650GB

Dados de Veículos

• ID : número de banco de dados interno
• Tipo de Pessoa: física ou legal
• Data de atualização: varia de 1993 a 2020)
• Conselho: em formato antigo ou novo
• Município e UF do Conselho de Administração
• Situação do veículo
• Restrições: sem restrição, restringida por roubo, penhor, alienação fiduciária, etc.
• Número do chassi
• Situação do chassi : Normal, Restrita
• Número do motor
• Número da caixa de velocidades (se aplicável)
• Número do corpo (se aplicável)
• Tipo de corpo: aberto, fechado, jipe, van, cabine dupla, motocicleta etc.)
• Tipo de Documento de Faturado
• Bilhetes para Billed UF
• Anunciado : contém sequência de números relacionados com o documento faturado, como a fatura
• Marca e Modelo : existem 37 mil modelos diferentes
• Ano do modelo
• Ano de fabricação
• Cor do veículo
• Tipo do veículo: bicicleta, ciclovia, scooter, motocicleta, automóvel, ônibus, caminhão, etc.
• Tipo de veículo: passageiro, carga, misturado, tração, coleta etc.
• Combustível: gasolina, álcool, diesel, gás natural, elétrico, etc.
• Potência : potência em HP
• Deslocamento
• Capacidade máxima de tracção
• Peso bruto total
• Capacidade da bateria
• O número de passageiros
• O número de eixos
• Nacionalidade: nacional ou importado
• DI : declaração de importação
• Identidade do importador
• Tipo de documento do importador

Como chegamos aos números

Através da nossa colaboração com a mídia, que incluiu Estadão, Folha de São Paulo e Tecnoblog, para produzir as análises e estimativas acima, como pesquisadores e profissionais de segurança da informação de longa data, agimos de forma responsável – durante esse processo, não procuramos entrar em contato com o cibercriminoso ou buscar a compra de conjuntos de dados do hacker, e não obtivemos uma cópia de seu arquivo, que estimamos acima o tamanho total. Além disso, não procuramos lucrar financeiramente com o vazamento de forma alguma.

• O Est. Tamanho de dados por pessoa (sem foto de cara) e Est. Tamanho de Dados Por Empresa : com base nas amostras e catálogo do conjunto de dados fornecidos pelo cibercriminoso, simulamos uma exportação de CSV de dados de indivíduos e empresas individuais. Concluímos, por exemplo, que os dados de negócios vazados sobre o próprio Syhunt eram em torno de 7,33 KB de dados de texto. Após examinar o tamanho das múltiplas exportações simuladas, estimamos o tamanho dos dados por pessoa e por empresa.
• Aprox. Aprox. Tamanho de dados por veículo – o tamanho usual de cada linha do arquivo de veículos vazados.
• Total de Imagens Face em Base de Dados – 20GB est: dividimos o tamanho em bytes do arquivo de fotos de amostra (17.3 MB) por 1.334 arquivos JPEG. Então nos multiplicamos pelo número de imagens de rosto disponíveis no arquivo completo (1.1M, ou para ser mais exato 1.176.157).
• O Est. Tamanho do Banco de Dados de Pessoas Não-comprimidas : multiplicamos o tamanho dos dados estimados por pessoa em bytes com o total de indivíduos brasileiros expostos. Também adicionamos o tamanho estimado descompactado de imagens faciais no banco de dados.
• O Est. Tamanho do banco de dados de negócios não comprimido: multiplicamos o tamanho dos dados estimados por empresa em bytes com o total de pessoas jurídicas brasileiras expostas. Também processamos as informações de catálogo de cibercriminosos com a coluna de software por conjunto de dados e geramos as estimativas disponíveis abaixo.
• O Est. Tamanho de banco de dados não comprimido (Todos os bancos de dados) – Quase 1 TB: a soma do tamanho do banco de dados de pessoas, empresas e veículos.

Conclusão

Este é o maior e mais sério vazamento de dados que o Brasil já experimentou. Syhunt recomenda esforços reais, imediatos e contínuos, pelo governo e pelo setor privado, para responder vigorosamente a esse vazamento, que deve incluir, entre outras coisas:

• Acelere a resposta a esse vazamento e vazamentos futuros.
• Suprimir a venda das informações vazadas.
• Impedir que os dados vazados sejam ativamente explorados por criminosos.
• Crie novos mecanismos para detectar, monitorar e relatar vazamentos.
• Cooperação internacional com outras agências de aplicação da lei.
• Discutir e colocar em prática contramedidas concretas com a ajuda de empresas e profissionais de segurança da informação.

Sobre a Syhunt Security

Com a tecnologia de avaliação de última geração, a Syhunt se estabeleceu como um player líder no campo de segurança de aplicativos da web, entregando suas ferramentas de avaliação a uma variedade de organizações em todo o mundo, desde as PME até a empresa. Os produtos Syhunt ajudam as organizações a se defenderem contra a ampla gama de ataques cibernéticos sofisticados atualmente ocorrendo na camada de aplicativos da Web.

O Syhunt detecta proativamente vulnerabilidades e fraquezas que levam ao vazamento ou violação de dados – as ferramentas do Syhunt se concentram nos muitos ângulos e visualizações que podem ser usados para avaliar o estado de segurança de um aplicativo da Web, como sua versão ao vivo (análise dinâmica / DAST), código-fonte (SAST), log do servidor (forense) e configuração (endurecimento).

O fundador da Syhunt, Felipe Daragon, iniciou sua carreira trabalhando como consultor de segurança para organizações governamentais e corporações nos anos 90. No início de sua carreira, trabalhou para as principais empresas de segurança da informação no Brasil. Os últimos 22 anos da Daragon no setor de segurança da informação foram dedicados a defender proativamente empresas e agências governamentais de ataques e aumentar a conscientização sobre questões urgentes de segurança e novas tendências de ataques cibernéticos.

Referências & Agradecimentos

Agradecimentos especiais

1. Graças a Paulo R. Santos (Jump2) e Mario C. Fialho para participar das análises em conjunto com Syhunt e os jornais.
2. Agradecimentos a Felipe Ventura pelas primeiras análises detalhadas sobre o vazamento, que foram postadas pelo Tecnoblog como parte de dois artigos e passaram a destacar a dimensão do vazamento. Obrigado a Renato Kopke por me enviar os links para os artigos.
3. Graças a Roberto F. Marc (Syhunt) para rever os cálculos de matemática.

Referências

1. Megavazamento de dados de janeiro ex mais de 500 mil celulares corporativos, Gizmodo. 11 de fevereiro de 2021
2. Megavazamento de janeiro fez meio meio de celulares corporativos circularem na internet, Ém, 10 de fevereiro de 2021
3. Fotos de megavazamentoamento de são políticos que seram entre 2012 e 2020, Canal candidatatech, 5 de fevereiro de 2021
4. Fotos em megavazamento de dados os candidatos nas in 2012 e 2020, Estadão, 4 de fevereiro de 2021
5. PF investiga venda de dados de Bolsonaro e de ministros do STF, CNN, 3 de fevereiro de 2021
6. Após megavazamento, dados de Supremo dos postos de Conjur. 2 de fevereiro de 2021
7. Dados vazados podem render R$ 80,8 milhões ao criminoso Folha de São Paulo. 2 de fevereiro de 2021
8. Dados de Bolsonaro e ministros do STF estão à venda na internet após megavazamento Estadão, 1o de fevereiro de 2021
9. Após a foto, dados de 40 mil circulam jám na internet. CNN (Via Estadão), 29 de janeiro de 2021
10. Após megavazamento, dados de 40 mil brasileiros já circulam na internet, Estadão, 28 de janeiro de 2021
11. O há que o vazamento no fila de 30 milhões de CNPJs, Tecnoblog, 22 de janeiro de 2021
12. Vazamento que expôs 220 milhões de é brasileiros do pior que se, Tecno pensavablog, 22 de janeiro de 2021

Referências Traduzidas (em inglês)

1. Detalhes do vazamento em 100 milhões de veículos no Brasil, 25 de janeiro de 2021
2. Vacamentos que expuseram 220 milhões de brasileiros é pior do que se pensava, 22 de janeiro de 2021
3. O que está no vazamento que afetou 40 milhões de CNPJs, 22 de janeiro de 2021