Um vazamento que agrupa informações pessoais de clientes de operadoras como Oi, Claro, TIM e Vivo começou a ser distribuído gratuitamente em redes sociais nesta quarta-feira (07). Os dados pessoais são encontrados em um pacote de 6,4 GB para download. De acordo com análise interna, apenas a Oi teria dados novos expostos, enquanto Claro, TIM e Vivo sofreram a exposição em 2021.
O arquivo tem reivindicação de um grupo novo chamado Surface Law e traz informações como nome completo, endereço residencial completo, telefone fixo, telefone móvel, CPF, CNPJ, email de contato, data de instalação e data de aquisição de produto.
Nos documentos, é possível encontrar dados tanto de empresas quanto pessoas físicas por todo o Brasil
Segundo análise do pesquisador de segurança Clandestine (@akaclandestine) em colaboração com o TecMundo, a maior parte dos dados presentes no vazamento não são tão novos: os mais recentes datam de 2021. No entanto, as informações presentes sobre a operadora Oi supostamente seriam de 2022.
É interessante notar que, há alguns meses, uma base de dados similar foi colocada à venda em fóruns cibercriminosos por cerca de R$ 7 mil.
Novidade: Oi, listagem por estados
- Posicionamentos
TIM: "A TIM informa que não consta em seus sistemas qualquer ocorrência relacionada à falha de segurança que possa ocasionar vazamento de dados de seus consumidores. Com quase 70 milhões de clientes em todo o país, a TIM adota os mais rígidos protocolos e controles de segurança. Mais informações estão disponíveis no site da operadora ou no Centro de Relacionamento com o Cliente, discando *144 do próprio celular ou 1056 de qualquer telefone"
CLARO: "A Claro informa que investe fortemente em políticas e procedimentos de segurança, adotando medidas preventivas de acordo com melhores práticas, para proteger seus clientes. Até o momento não há indícios de exposição de dados e conforme nossos protocolos internos, seguimos com monitoramento constante"
VIVO: "A Vivo esclarece que não identificou nenhum incidente de vazamento de dados pessoais. A empresa destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e atualiza permanentemente as suas tecnologias no combate às práticas que possam ameaçar a privacidade."
OI: "A Oi está avaliando as informações noticiadas para se manifestar oportunamente. E reitera seu compromisso com a proteção dos dados pessoais de seus clientes.".
Leak
Mais detalhes
Segundo o Surface Law, o arquivo compreende dados de cerca de 1,5 milhão clientes. Além disso, que eles foram obtidos por meio de falhas em subdomínios de diretórios expostos. Por último, quando perguntados por qual motivo disponibilizar gratuitamente um pacote tão sensível, responderam: “Porque o intuito da nossa equipe não é lucrar, fazemos por diversão e razões em que acreditamos”.
As bases encontradas no vazamento são as seguintes: BASE_OI, CLARO, CLARO_CPF, OI, TIM-2021, VIVO FIXO, VIVO POS, VIVO PRE.
O TecMundo entrou em contato com as operadoras citadas na reportagem. Até o momento, não houve resposta como posicionamento.
Pacote
O perigo de vazamentos
Vazamentos são cada vez mais comuns, mas qual o perigo dessas informações estarem rodando livremente na internet? A possibilidade de afetados sofrerem golpes direcionados.
Sobre essas possibilidades, podemos citar desde ataques spear phishing (mensagens falsas mais certeiras por usarem informações precisas) até golpes de cartão de crédito e abertura de contas falsas.
Por isso, é sempre importante que usuários de internet tomem passos básicos de cibersegurança:
- Habilitar o segundo fator de autenticação é mandatório. Faça isso em aplicativos, serviços e emails. Fuja do segundo fator de autenticação via SMS, procure por soluções terceiras como Authy, Google e Microsoft Authenticator.
- Desconfie de links e mensagens que chegam até você, principalmente boletos de pagamento. Caso você tenha alguma dúvida, seja pró-ativo e busque contato com o banco em canal oficial.
- Há um jeito muito simples de saber se você foi vítima de fraude: o site Registrato, do Banco Central, monitora quais contas correntes estão vinculadas ao CPF do titular. Por meio de um cadastro simples, é possível acessar informações de empréstimos e financiamentos, lista dos bancos em que você possui conta, indicações de chaves PIX cadastradas em instituições de pagamentos e dados sobre operações de câmbio ou transferências internacionais.
- Ativar senha PIN no chip do celular (IMEI)
Leak
Denúncias ao TecMundo
O TecMundo apoia o trabalho de hackers éticos, nossos canais de contato são:
Categorias