O hacker Marcos Roberto Correia da Silva, preso pela Polícia Federal na manhã desta quinta-feira (19) acusado de envolvimento no megavazamento de dados de mais de 220 milhões de pessoas em janeiro deste ano, afirmou que os dados não vieram dos sistemas do Serasa, como se suspeitava anteriormente.
De acordo com a Folha de S.Paulo o hacker, conhecido pelo apelido VandaTheGod, disse em um de seus perfis em uma rede social que “não foi o Serasa que foi hackeado, não, foi outra empresa privada que está ligada ao governo. Eu tenho e não vou passar, tem que negociar btc [bitcoins], propostas”. Marcos vinha fazendo anúncios informais vendendo o acesso aos dados em sua própria conta no Twitter.
A Polícia Federal não esclareceu se Marcos foi preso por hackear a empresa que seria a fonte dos dados, ou se por obter acesso e revender os dados vazados. Ele também é investigado por participação no ataque ao Tribunal Superior Eleitoral (TSE) durante o primeiro turno das eleições 2020, e pela Polícia Civil de São Paulo em outro caso.
Relembre o caso do megavazamento
O megavazamento foi identificado pelo dfndr lab, laboratório de pesquisa de segurança da PSafe, em 19 de janeiro deste ano. O banco de dados expôs informações pessoais de 223 milhões de pessoas – praticamente toda a população do Brasil, incluindo autoridades como o Presidente da República, Jair Bolsonaro, e ministros do STF
Segundo Emilio Simoni, diretor do dfndr lab, dados do tipo podem ser obtidos por cibercriminosos em golpes de phishing – no qual um hacker convence sua vítima a divulgar suas informações em alguma página falsa, por exemplo.
“Uma vez que o cibercriminoso tenha o CPF e outros dados reais da pessoa”, diz Simoni, “seria fácil se passar por um serviço legítimo e utilizar engenharia social para obter dados mais críticos da vítima, que poderiam ser utilizados para pedir empréstimos, senha de banco e contratações de serviços”.
A suspeita de que o Serasa seria a origem dos dados surgiu porque o banco de dados continha informações como o score de crédito das vítimas, além de dados de um sistema interno da empresa conhecido como Mosaic.
A empresa, entretanto, negou a conexão: “Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic”, afirma.
“Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos”, complementa.
Fonte: www1.folha.uol.com.br