Se você também soube do vazamento gigante de dados de semana passada, deve ter ficado preocupado. O vazamento inclui 223 milhões de CPFs, mais até do que a população do Brasil, que está em 210 milhões de habitantes. É natural se perguntar se seus dados estão lá e o que você pode fazer.

E aí aparece um site, como o Fui Vazado, dizendo que pode confirmar se seus dados vazaram. Tentador, não? Mas antes de sair colocando seus dados lá para checar, é melhor analisar com calma. E não sou eu que estou dizendo isso.

Nesta segunda-feira (1º), o site Fui Vazado ganhou alguma repercussão depois de aparecer em matérias sobre o grande vazamento. Mas pessoas familiarizadas com computação acharam melhor verificar direito. “Eu fiquei com um pé atrás em um primeiro momento, porque o site não tinha código aberto”, diz Lucas Lago, pesquisador no CEST-USPe  desenvolvedor do 7C0, conjunto de iniciativas de código aberto para promover transparência.

Outros desenvolvedores também se queixaram de não poder ver qual era o processamento feito com os dados — o site pede CPF e data de nascimento para confirmar o vazamento. O responsável pelo site, Allan Fernando, logo disponibilizou o código no GitHub. Isso ajuda, mas não é o fim dos questionamentos.

Assine a newsletter do Gizmodo

“O site parece legítimo, mas não dá para saber se o código é o mesmo do site”, explica Lago. A cientista da computação Nina da Hora e colunista do Gizmodo Brasil também toma cuidado em relação a isso: “Não há garantia de que o código compartilhado é o que está rodando na plataforma.” Segundo ela, publicar o código-fonte permite dar sugestões, mas nada garante que elas serão implementadas.

“O projeto não é aberto e as issues (formas que você tem de contribuir e ajudar no que o projeto precisa melhorar no GitHub) estão fechadas, a transparência das informações não está clara, não há termo de privacidade dos dados e não há opção pela qual as pessoas que já tiveram seus dados vazados estejam autorizando que isso seja reutilizado”, diz Da Hora. Ela também lembra que o responsável pelo site está usando uma base de dados vazada e ele não teria direito a isso.

Lago diz que o fato uma pessoa aparecer publicamente para dizer que é responsável pela ferramenta, diminui a chance de ser algum tipo de golpe. Mesmo assim, diz que só confia no que pode verificar — o que não é o caso.

Da Hora não recomenda o uso do Fui Vazado. “A consulta é direta em uma base de dados vazada. Não podemos naturalizar isso.”

Outros sites oferecem serviços parecidos, mas não iguais

Sites em que você digita um dado para saber se ele vazou não são exatamente novidade. Um dos melhores exemplos é o Have I Been Pwned?, que verifica se e-mails ou senhas foram expostos em vários vazamentos feitos ao longo dos anos. Nós já falamos dele aqui no Gizmodo Brasil.

Para quem não entende do assunto, ele pode lembrar bastante o Fui Vazado, mas por trás das cortinas, ele é bem diferente. Como Lago explica, o Have I Been Pwned? usa só um hash (sequência de caracteres obtida por criptografia) do e-mail ou senha fornecida pelo usuário para comparar com o arquivo de vazamentos (também criptografado). Isso não acontece com o Fui Vazado, de acordo com a verificação feita pelo desenvolvedor.

Da Hora também destaca que o Have I Been Pwned? dá mais segurança pois só usa ou o e-mail ou uma senha e não dados pessoais, como documentos — o Fui Vazado pede o CPF e a data de nascimento. A cientista diz que o site americano pode ser uma inspiração para iniciativas brasileiras, mas que, por enquanto, o Fui Vazado não pode ser considerado seguro.

Como avaliar a segurança sites desse tipo?

Como saber, então, se um site desse tipo é legítimo? Lago dá algumas dicas. Primeiro, desconfie. Sair digitando seus dados em qualquer lugar pode ser uma péssima ideia, já que muita coisa pode rolar depois de clicar em “OK”. Você pode validar que seus dados vazados são reais ou até mesmo confirmar um empréstimo. (Nada até agora indica que este é o caso do Fui Vazado, felizmente.)

Se o site que checa os dados é da empresa que foi fonte do vazamento ou de uma grande companhia de segurança, pode ser que ele seja seguro. No caso do grande vazamento de semana passada, suspeita-se da Serasa Experian, mas a empresa nega.

Lago também diz que um bom sinal é se o site dá informações seguindo a Lei Geral de Proteção de Dados. Isto é algo que o Fui Vazado não faz, o que pode ser um problema, já que ele processa dados dos usuários. O acesso ao código-fonte também é um bom sinal, mas não é uma garantia, lembra Lago.

Da Hora diz que é possível que um site desse tipo seja legítimo, desde que as consultas sejam pensadas para serem feitas de modo seguro desde o início. Ela considera, porém, que isso se trata de uma “ação individualizada e solução imediatista”.

“Se foram vazados mais dados do que pessoas vivas no Brasil, é óbvio que o dado [do usuário] está neste vazamento”, diz a cientista da computação. Ela também ressalta que é mais importante tomar medidas como trocar e-mails e senhas do que se concentrar em saber se seus dados vazaram.

Então, o que fazer?

Fato é que não há muitas medidas que você, sozinho, possa tomar se seus dados vazaram. Lago diz que um cuidado é redobrar a atenção contra golpes pela internet e telefone. Da Hora também lembra que não se deve confiar em mensagens e telefonemas que pedem para confirmar dados. Trocar senhas também é uma boa sugestão, diz a cientista, assim como alertar os idosos.

Da Hora também repassou uma sugestão interessante da Erica: baixar e fazer o cadastro no aplicativo Caixa Tem, que foi usado recentemente para conceder benefícios sociais, como o auxílio emergencial durante a pandemia. “Senão podem se cadastrar com seus dados e acessar benefícios do governo em seu nome, como saque emergencial do FGTS, auxílio emergencial e benefícios futuros que o governo possa oferecer”, explica a cientista.

Lago também lembra que a LGPD terá de ser aplicada, e a empresa que deixou esse monte de dados vazar, seja ela quem for, terá de ser punida. Por isso, será importante cobrar um processo de apuração das autoridades.