A CheckMeuCarro, uma empresa que vende relatórios sobre a situação de veículos emplacados no Brasil, deixou aberto um banco de dados com aproximadamente 191 milhões de registros de CPF (Cadastro de Pessoa Física) e outros 35 milhões de registros de CNPJ (Cadastro Nacional de Pessoa Jurídica).

As informações de pessoas físicas incluíam nomes, endereços, telefones, renda, classe social, datas de nascimento, escolaridade e nome da mãe, porém nem todos os cadastros estavam completos.

1 de 2 Consulta em banco de dados exposto na web retorna nome, endereço e telefones — Foto: Reprodução Consulta em banco de dados exposto na web retorna nome, endereço e telefones — Foto: Reprodução

O blog foi informado do vazamento por um especialista que pediu para não ser identificado. O número total de registros foi obtido em consulta específica ao próprio servidor - nem o blog nem o pesquisador tentaram baixar o banco de dados completo.

Não é possível saber desde quando as informações estavam disponíveis na web. Até o dia 17 de dezembro, tudo podia ser consultado sem senha, bastando acessar um determinado endereço.

Depois de ser procurada pelo blog, a empresa deixou o servidor inacessível, fechando acesso aos dados.

2 de 2 'Count' representa o total de registros disponíveis no banco de dados. No índice de pessoa jurídica (dir.), são 35.348.695 registros. No índice de pessoas físicas, 191.942.954. — Foto: Reprodução 'Count' representa o total de registros disponíveis no banco de dados. No índice de pessoa jurídica (dir.), são 35.348.695 registros. No índice de pessoas físicas, 191.942.954. — Foto: Reprodução

Proteção de dados no Brasil

No Brasil, ainda não existe uma lei em vigor que determine regras e punições específicas para armazenamento e tratamento de dados pessoais. A Lei de Proteção de Dados (LGPD), aprovada no ano passado, só vai entrar em vigor em 2020.

Advogados ouvidos pelo blog explicaram que, atualmente, vazamentos em si não presumem a existência de algum dano a ser ressarcido.

Marcelo Crespo, que trabalha com casos de proteção de dados, afirma que as pessoas podem procurar as empresas envolvidas em vazamentos e questionar se suas informações estavam entre os dados vazados.

Quem foi prejudicado pode pedir indenização. "Porém, é preciso comprovar esse dano", adverte Alexandre Atheniense, também especializado em direito digital.

Segundo ele, consumidores terão à disposição mecanismos melhores para compreender o impacto de vazamentos e serem compensados por esses danos quando a LGPD entrar em vigor.

A Agência Nacional de Proteção de Dados ficará encarregada de investigar esses casos e garantir que todos que mantenham bancos de dados – sejam empresas ou pessoas físicas – estejam cumprindo a lei.

Isso se aplica a escritórios de advocacia ou clínicas médicas, por exemplo. "E é bom destacar: muitas pessoas ainda não sabem que a lei vai valer pra eles", diz o advogado.

O blog também procurou o Ministério Público do Distrito Federal e Territórios (MP-DFT), que abriga a Comissão de Proteção dos Dados Pessoais. O órgão afirmou que não pode se manifestar porque não há procedimento aberto sobre o caso.

O que diz a empresa

A CheckMeuCarro afirma em seu site que é gestora da maior base de veículos sinistrados do Brasil e que esses “dados exclusivos” vêm de “diversas fontes públicas e privadas e empresas especializadas”. Os relatórios são comercializados na internet.

A empresa pertence ao mesmo grupo da BankScore, especializada em consultas de dados cadastrais para “scores de crédito” (informações que determinam bons pagadores). Ambas têm sede em Curitiba e atendem no mesmo número de telefone.

A CheckMeuCarro disse que o servidor onde estavam os dados vazados era usado para testes. “E, apesar do IP ser público, ele não estava exposto em nenhuma aplicação nossa", comunicou.

Apesar de ser um ambiente de testes, a CheckMeuCarro informou que havia monitoramento em tempo real do tráfego e uma limitação dos acessos. E que não seria possível baixar todos os dados e eles também não estavam disponíveis para comercialização.

O blog, no entanto, realizou dezenas de consultas idênticas, ao longo de vários dias, antes de comunicar a empresa, mas nenhuma foi bloqueada.

A CheckMeuCarro disse ainda que, embora alguns dados fossem reais, a maioria não corresponde “a uma verdade absoluta".

A empresa informou ainda que "apenas trabalha com dados públicos e estimativas (inteligência de dados)", citando diversas fontes de dados (como listas de aprovados em concursos e ProUni, além de ocorrências policiais e processos na Justiça) como a origem das informações que relacionam nomes e números de CPF.

Uma consulta feita pelo blog retornou, em sua maioria, dados corretos, incluindo telefones, nome e endereço. Em respeito à privacidade dos demais registros contidos no banco de dados, não foram acessadas outras informações.

O que é correto

A prática correta com sistemas de testes é mantê-los fora da internet. Isso porque endereços IP - que designam sistemas conectados à web - são compostos por números consecutivos, semelhantes a números de telefone. Dessa forma, é fácil encontrar sistemas conectados, ainda que eles não sejam referenciados por nenhum site.

Um guia da Beanstalk, uma empresa especializada em métodos de desenvolvimento, afirma que "cada desenvolvedor deve ter seu ambiente local".

Para o pesquisador que encontrou os dados expostos da CheckMeuCarro, confiar a segurança de um sistema ao fato de sua existência não ser "divulgada" não é fator decisivo para conferir uma proteção adequada.

Segundo ele, a empresa cometeu diversos erros ao montar o servidor: além de deixá-lo acessível, não foi configurada uma extensão chamada "X-Pack" e nem configurada criptografia - medidas que deveriam estar previstas desde o início.