Milhões de cidadãos brasileiros tiveram seus dados armazenados nos sistemas SCPC da Boa Vista Serviços supostamente expostos no domingo (02). Entre as informações acessadas na internet, estão: nome completo, nome de parentes, CEP, CPF, endereço completo, número de conta corrente, pendências em bancos e outras instituições e pontuação de crédito (score).

A Boa Vista também trabalha com sistema de score, igual ao Serasa, que dá nota aos cidadãos para vendas a crédito

O Serviço Central de Proteção ao Crédito (SCPC) é um serviço administrado pela Boa Vista, uma empresa de informações de crédito que possui um banco de dados com informações de 130 milhões de empresas e seus consumidores. Os clientes da Boa Vista podem descobrir dados como a inadimplência de uma pessoa jurídica ou física — a Boa Vista também trabalha com sistema de score, igual ao Serasa, que dá nota aos cidadãos para vendas a crédito.

Documento publicado no Pastebin

No domingo passado (02), o TecMundo recebeu uma denúncia no Twitter sobre uma invasão aos sistemas da Boa Vista. No caso, o hack foi realizado pelo Fatal Error Crew, mesmo grupo que invadiu os sistemas da C&A na semana passada. Em documento publicado no Pastebin, o grupo escreveu: “BoaVista SCPC, me tira uma dúvida, quem autoriza vocês a possuírem os dados pessoais de todos brasileiros mesmo que eles não possuam dívidas? Vocês não acham errado isso? Ainda mais lucrarem com os dados pessoais de todos brasileiros (...) Não postamos nenhuma informação de nenhum brasileiro porque prezamos pela privacidade dos mesmos, porém sugiro mudarem todas suas senhas logo. Não se enganem, estamos de olhos em todos seus bancos de dados faz alguns anos. Ciro Gomes, só dizer que nós tiramos o nome de todo mundo do SPC” — o candidato à presidência Ciro Gomes (PDT) tem, como uma das bandeiras de governo, limpar o nome dos devedores no SPC.

A empresa está diligenciando para apurar a origem e extensão do possível incidente

Nesta publicação em específico, detalhes sobre o sistema e base de dados usados pela Boa Vista foram publicados no Pastebin.

Imagem enviada por @AvcSuperman, da Fatal Crew, demonstrando acesso ao banco de dados completo [imagem censurada pelo grupo]

Ao TecMundo, a Boa Vista SCPC informou que está investigando o caso. “A Boa Vista SCPC informa que regularmente audita, protege e analisa eventuais comunicações relacionadas à sua atividade. No momento, a empresa está diligenciando para apurar a origem e extensão do possível incidente. Com relação à denúncia sobre determinado servidor, informa que também, como de praxe, está analisando tais fatos e, se for o caso, adotará todas as medidas técnicas e legais pertinentes”, afirmou em nota.

Boa Vista

Dados de brasileiros expostos

Hoje (03), o TecMundo recebeu o contato de um perfil no Twitter chamado @Unnamed. A conta, criada exatamente para o caso, divulgou uma amostra de 10 mil dados sensíveis de brasileiros presentes no sistema da Boa Vista. Por lá, era possível encontrar dados como nome completo, nome de parentes, data de nascimento, CEP, CPF e endereço completo.

Em conversa com o hacker envolvido, são cerca de 3 milhões de registros envolvidos no vazamento. Esperamos mais arquivos para complementar a matéria. Assim que recebermos, ela será atualizada

Dados expostos

Perigos

Entre os perigos que envolvem este tipo de vazamento, estão os golpes de phishing e a engenharia social. Problemas que podem afetar os clientes nos próximos meses.

A engenharia social permite desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima

Em primeiro lugar, temos o phishing, o principal ataque no Brasil e um dos métodos de ataque mais antigos. Nele, "metade do trabalho" é enganar o usuário de computador ou smartphone. Como uma "pescaria", o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.

Depois, temos a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".