Lembra do megavazamento de dados noticiado no final de janeiro e que colocou dados de 223 milhões de brasileiros (vivos e mortos) na internet? Pois bem, eis que, nesse bolo de informações, estão mais de 500 mil celulares corporativos pertencentes a 40 milhões de CNPJs que estavam no arquivo vazado. E os números ainda circulam livremente em fóruns da web para quem quiser ver.

Essa é a constatação de uma análise da empresa de segurança Syhunt a pedido do Estadão. De acordo com o relatório, dos 40 milhões de CNPJs listados, 28 milhões incluem números de celulares corporativos dos funcionários. Estima-se que o hacker tenha em mãos um arquivo de 200 GB de informações referentes a pessoas jurídicas.

Vale destacar que essa base é diferente da divulgada pela PSafe em outro megavazamento com mais de 100 milhões de telefones na última quarta-feira (12)

Os dados hackeados fazem parte de um pacote com 17 categorias que atingem somente pessoas jurídicas. Ao analisar a parte referente aos números telefônicos – todos vinculados aos CNPJs de empresas -, foram identificados 532.696 celulares corporativos, dos quais 366.770 são números da operadora Vivo, 12.123 da TIM e o restante sem classificação. Para efeito de comparação, o hacker também possui um pacote com dados de pessoas físicas e, apesar do número de categorias ser maior (37 no total), o número de celulares é bem inferior (6.945).

A Syhunt acredita que esse compilado de dados sensíveis não diz respeito apenas ao megavazamento de janeiro, mas sim um compilado de vários outros casos de exposição. Um fato isolado reforça essa teoria: algumas informações datam de 2019, mesmo ano em que uma falha no site da Vivo expôs dados de 24 milhões de clientes. Isso talvez explique o motivo da operadora responder por mais da metade dos números corporativos vazados.

Assine a newsletter do Gizmodo

Além disso, os celulares corporativos estão registrados em pelo menos 11 estados brasileiros. O Paraná foi o mais atingido, com 205.640 números, seguido por São Paulo (202.829), Minas Gerais (19.801), Rio Grande do Sul (17.802), Rio de Janeiro (14.721), Distrito Federal (6.513), Santa Catarina (5.134), Espírito Santo (4.080), Mato Grosso (836) e Tocantins (439). O DDD 11, atribuído à cidade de São Paulo, foi o que mais teve números vazados (179.172). A região Nordeste é a única que aparentemente passou ilesa pelo vazamento.

Em comunicado ao Estadão, a Vivo diz que “reitera a transparência na relação com os seus clientes e ressalta que não teve incidente de vazamento de dados”, além de destacar que “possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate à práticas que possam ameaçar a sua privacidade”.

A TIM, por sua vez, afirmou que “não sofreu nenhum ataque ou vazamento que colocasse em vulnerabilidade os dados de clientes e ou dados próprios”, reforçando que preza “pela segurança de dados, com as melhores práticas em cibersegurança”.

[Estadão]