PORTFÓLIO
Megavazamento de fotos de brasileiros na Deep Web pode impulsionar fraudes
Mais de 300 mil fotos de brasileiros vazaram na Deep Web, gerando preocupações sobre fraudes financeiras e a criação de deepfakes
Ana Luiza Figueiredo
Um suposto megavazamento de fotos de brasileiros, que podem ter origem em bancos de dados policiais, foi identificado em um fórum na Deep Web. O pacote, que contém fotos de mais de 300 mil pessoas, está sendo oferecido gratuitamente, e especialistas da Solo Iron, unidade de cibersegurança da Solo Network, alertam para os riscos envolvidos.
Segundo a empresa de cibersegurança, a descoberta foi feita na noite desta segunda-feira (4) e gerou preocupação, pois as imagens podem ser usadas para fraudes financeiras e até para criar deepfakes.
“A equipe de CTI, que é a equipe de Cyber Threat Intelligence, é uma equipe que atua tal como a CIA americana ou como a nossa ABIN, a Agência Brasileira de Inteligência. Essa equipe de CTI da Solo fica infiltrada em fóruns, em hackers de criminosos na Deep e Dark Web, fóruns do Telegram.”
Felipe Guimarães, chefe da equipe de cibersegurança da Solo Iron, ao Olhar Digital
“A gente viu em um dos grupos que a gente está infiltrado, quando alguém divulgou um dado massivo, mais de 350 mil fotos, de brasileiros”, explicou Guimarães ao Olhar Digital. “O anunciante, o criminoso que supostamente roubou esses dados, anunciou na Deep Web como fotos de documentos.” Ele ainda acrescentou que aconteceu um “boom” dentro da Deep Web pelo interesse muito grande dos criminosos pelo anúncio.
Embora a origem exata das fotos ainda não tenha sido confirmada, há indícios de que algumas delas possam ser provenientes da Polícia Civil do Espírito Santo, com muitas imagens possivelmente relacionadas a pessoas autuadas. O maior risco, segundo os especialistas, é o uso dessas imagens em fraudes, como a criação de contas bancárias falsas e solicitações fraudulentas de crédito.
“A gente conseguiu baixar as 350 mil fotos. Essas fotos variam de fotos 3×4, igual a gente tira lá quando vai fazer o RG. E tem fotos também de delegacia. [Nelas], a gente vê o fundo da polícia de Espírito Santo, as pessoas autuadas, várias de frente, de lado e tudo mais”.
Felipe Guimarães, chefe da equipe de cibersegurança da Solo Iron, ao Olhar Digital
Apesar de existirem mais de 350 mil fotos, Guimarães explicou que existe um número de duplicatas e fotos diferentes da mesma pessoa, no caso das tiradas em delegacias. Utilizando um algoritmo que elimina a repetição, a equipe chegou à conclusão que entre as 350 mil fotos, estão presentes imagens de cerca de 300 mil pessoas diferentes.
Fotos de brasileiros estão disponíveis para download na Deep Web
Especialistas da equipe Solo Iron, unidade de cibersegurança da Solo Network, detectaram um megavazamento de imagens de brasileiros sendo compartilhado em um fórum na Deep Web. Segundo Felipe Guimarães, chefe da equipe de cibersegurança, o acesso ao fórum requer créditos, que podem ser adquiridos para baixar gratuitamente as fotos.
Embora não se tenha confirmação da origem exata das imagens, suspeita-se que algumas delas possam ter sido extraídas de bancos de dados da Polícia Civil do Espírito Santo.
Não há nenhuma certeza sobre a origem do vazamento, mas caso seja confirmado que o ele decorre de falhas nos sistemas policiais, as autoridades poderiam ser responsabilizadas. Antonielle Freitas, DPO (Data Protection Officer) do escritório Viseu Advogados, explicou ao Olhar Digital que a Lei Geral de Proteção de Dados Pessoais (LGPD) “estabelece que o controlador de dados, nesse caso, a instituição pública, é responsável por garantir a segurança e proteção dos dados pessoais que armazena e processa.”
Caso se confirme que o vazamento decorreu de uma falha de segurança nos sistemas policiais, Freitas aponta que a polícia ou o governo poderão ser responsabilizados, cabendo a eles “implementar medidas preventivas adequadas e promover auditorias constantes para proteger esses dados sensíveis.”
As fotos, muitas das quais seguem o padrão de documentos brasileiros, elevam o risco de fraudes, possibilitando a criação de perfis falsos e o desenvolvimento de deepfakes.
Risco para consumidores e empresas e potencial de fraudes financeiras
“A gente viu também como que os criminosos estão tentando explorar isso. Existem rumores de tentativa de falsificação de documentos, como as fotos já estão [no formato] 3×4. Existem alguns planejando tentar fazer personificação, usando o deepfake. Porque quando você tem foto de vários ângulos do rosto, você consegue fazer um deepfake que se movimenta. Ele vai conseguir reproduzir, para tentar cometer algum tipo de fraude também, invalidação de sistema bancário, de bancos digitais, etc.”
Felipe Guimarães, chefe da equipe de cibersegurança da Solo Iron, ao Olhar Digital
- Para Guimarães, o vazamento representa uma ameaça significativa, principalmente para o setor financeiro, devido à possibilidade de uso dessas fotos em atividades fraudulentas.
- Ele destaca que o acesso gratuito às imagens amplia o potencial de fraudes.
- “Recomendamos que as empresas, especialmente as financeiras, aumentem seu nível de alerta nos próximos dias”, aconselha.
- Não são apenas as empresas que precisam redobrar a atenção. Consumidores também devem estar atentos a contatos suspeitos de instituições financeiras, principalmente aqueles que exigem confirmação de dados via e-mail ou telefone.
- Guimarães ressalta que criminosos podem utilizar buscas de imagem para obter informações adicionais sobre as vítimas, como nome, redes sociais, e-mail, e outros dados pessoais.
- Em caso de suspeita, recomenda-se que o consumidor entre em contato diretamente com a instituição financeira ou órgãos de proteção ao consumidor.
“Para empresas que possuem serviços de crédito, esse tipo de coisa, redobrar a atenção em relação a fraudes. E para o público final, redobrar a atenção também de notificações de instituições financeiras. Recebi um SMS aqui do Banco Itaú dizendo que o meu cadastro foi aprovado. Liga lá no Banco Itaú, no número confiável, e tenta identificar o que é isso.”
Felipe Guimarães, chefe da equipe de cibersegurança da Solo Iron, ao Olhar Digital
Investigação e responsáveis pelo vazamento
A investigação desse tipo de vazamento de grande escala envolve diferentes órgãos de segurança e proteção de dados. Segundo Antonielle Freitas, a Autoridade Nacional de Proteção de Dados (ANPD) possui papel central na fiscalização e aplicação de sanções, enquanto a Polícia Federal costuma ser acionada para investigar crimes cibernéticos relacionados a dados pessoais.
A Polícia Federal também costuma ser acionada para apurar crimes cibernéticos, com o apoio técnico de entidades como o Gabinete de Segurança Institucional (GSI) e o Comitê Gestor da Internet no Brasil (CGI.br).
Quais as consequências para quem vazou as imagens
Hackers envolvidos na distribuição de imagens pessoais na Deep Web podem ser enquadrados em diversos crimes, entre eles, violação de sigilo de dados e estelionato, além do uso indevido de dados pessoais.
Freitas explica que as penas para esses crimes variam conforme a legislação, e que “A gravidade das penas tende a aumentar com a extensão do impacto causado pelo vazamento e pelo envolvimento de outras infrações, como a utilização de deepfakes.” Ela observa que a organização dos hackers em grupos para executar fraudes pode caracterizar “organização criminosa,” o que agrava as sanções.
Consequências jurídicas para as vítimas
As vítimas de vazamentos de dados enfrentam consequências jurídicas e pessoais, incluindo o risco de roubo de identidade e danos financeiros. A LGPD garante o direito das vítimas de buscarem indenização por danos materiais e morais.
“As vítimas podem buscar reparação por meio de ações judiciais individuais ou coletivas, especialmente considerando o grande número de pessoas afetadas. Para ações de até 40 salários-mínimos, é possível buscar o Juizado Especial Cível; para valores superiores, a Justiça Comum é o caminho indicado. Uma ação coletiva poderia ser viável, facilitando o processo para que um grande número de vítimas busque reparação conjunta, o que reforça o impacto e eficácia da reparação em casos com vasto número de lesados.”
Antonielle Freitas, DPO (Data Protection Officer) do escritório Viseu Advogados
Impacto e ajustes na regulamentação de segurança de dados no Brasil
Incidentes dessa magnitude podem resultar em ajustes na regulamentação de proteção de dados no Brasil. A LGPD já cobre a proteção de dados pessoais e sensíveis, mas casos como este podem revelar a necessidade de maior rigor em práticas de segurança, especialmente em sistemas governamentais.
“A ANPD pode adotar medidas mais rigorosas e criar novas regulamentações de segurança para dados altamente sensíveis, incluindo o aprimoramento de protocolos de segurança para sistemas governamentais, visando reduzir vulnerabilidades e aumentar a proteção contra ataques cibernéticos.”, sugere Freitas.
O crescimento do cibercrime no Brasil
O Brasil, segundo estudos da Solo Iron, tem características particulares no cenário de cibercrime. Grupos criminosos locais, especializados em fraudes financeiras, operam em conjunto com atores internacionais e utilizam a dark web como um canal para disseminar ferramentas que facilitam ataques cibernéticos, incluindo uso de cartões de crédito e o sistema de pagamentos Pix.
Esses grupos também têm realizado extorsões financeiras contra empresas brasileiras por meio de ataques de ransomware e sequestro de dados.
O que dizem as autoridades?
O Olhar Digital entrou em contato com a Polícia Civil do Espírito Santo, a ANPD (Autoridade Nacional de Proteção de Dados), o Ministério Público do Espírito Santo, a Secretaria Nacional do Consumidor e o Ministério da Justiça e Segurança Pública questionando sobre o caso, mas ainda não obteve resposta até o momento da publicação. A matéria será atualizada assim que houver retorno das autoridades.