O site telefone.ninja chamou atenção nesta semana por expor números de telefones fixos e móveis, emails e endereço de brasileiros, sem autorização. As buscas podem ser feitas com facilidade: basta digitar o nome de alguém e consultar se os dados de contato estão disponíveis. Duas questões, no entanto, ainda precisam ser resolvidas: como esses dados foram obtidos e se existe alguma ilegalidade no site. A resposta da segunda depende da primeira.

• Um pequeno guia para descobrir se aplicativos gratuitos têm más intenções
• É bem fácil fazer uma autoridade clicar num link falso dentro de um email

Na página “Sobre” do site, é citada a Lei Geral de Telecomunicações e resoluções da Anatel para alegar que o conteúdo é legal. Os textos mencionados, no entanto, regulamentam apenas o compartilhamento de dados de assinantes do Serviço Telefônico Fixo Comutado (STFC) para produção de listas telefônicas. Não há, portanto, base jurídica que justifique as informações sobre usuários de telefonia móvel. O artigo 213 da lei n° 9.472/97 diz que “será livre a qualquer interessado a divulgação, por qualquer meio, de listas de assinantes do serviço telefônico fixo comutado destinado ao uso do público em geral”.

Eles afirmam ainda que os dados são disponibilizados pelas próprias operadoras de telefonia e oferecem um link para pesquisa de clientes em páginas específicas da Vivo, TIM, Oi e Embratel e não dão detalhes de como conseguiram os dados. Uma hipótese é que boa parte das informações disponíveis sejam recolhidas por meio de um script de consulta automática a essas páginas – mas isso não explica, por exemplo, a aparição de números de telefones e emails.

Em nenhum momento é mencionado o artigo 7ª do Marco Civil da Internet, que assegura o não repasse de informações a terceiros, a nconsentimento livre, de acordo com a lei. Esse é um dos argumentos utilizados pelo Idec (Instituto Brasileiro de Defesa do Consumidor) para defender a abertura de uma investigação para esclarecer se essas informações são oriundas de vazamentos de bancos de dados, de interceptação ilícita ou de repasse voluntário por parte das operadoras de serviços de telecomunicações. O Instituto diz ainda que não há detalhes sobre a política de privacidade do site e informações claras sobre os processos de guarda e tratamento de dados pessoais, o que também fere o Marco.

As teles, por meio do SindiTeleBrasil (Sindicato Nacional das Empresas de Telefonia e de Serviço Móbel Celular e Pessoal) dizem que não há uma lista pública de telefones móveis das prestadoras, que seguem a lei e não vendem dados de clientes. O vazamentos de bases de dados em tutela das operadoras viola o art. 3º da Resolução nº 66/98, que afirma que a prestadora é “responsável por garantir o respeito à privacidade do assinante do serviço na utilização de dados pessoais constantes de seu cadastro”.

O fato de o site permitir a remoção dos dados não alivia em nada a potencial ilegalidade da disponibilização dos dados. Para tirar informações exibidas no telefone.ninja, é preciso pesquisar pelo nome, entrar na página, rolar até o fim e clicar em “Solicitar pedido de privacidade e não exibição dos dados desta página”. As informações são removidas em poucos minutos, de acordo com testes que realizamos. Ao pesquisar novamente pelo mesmo nome, é exibida a seguinte mensagem: “foi feito um pedido pela privacidade e não exibição dos dados de endereço e telefone. Por esse motivo, essas informações não serão exibidas nesse site”.

Com o tempo tudo pode voltar. O telefone.ninja informa que “periodicamente é atualizado em função dos cadastros das operadoras, por isso seus dados podem eventualmente voltar a ser incluídos em nossa base”. A solicitação definitiva de não divulgação deve ser solicitada à operadora, segundo o site.

O telefone.ninja possui muitos dados incorretos, ausentes e muita gente sequer existe para o serviço. Isso é um indício de que todas as informações disponibilizadas no site vieram de fontes extra-oficiais, como bancos de dados vazados e outras informações já disponíveis na internet.

Mas qual é o objetivo?

De acordo com o Whois do domínio telefone.ninja, há informação de que a administração é feita por Ricardo Torres, que registrou o domínio pelo grupo “Bytecode Tech Inc.”. No site dessa empresa, há o email cnpjbrasilcontato@gmail.com, o que indica a ligação com outros sites de divulgação de dados. Além disso, a página está hospedada em Budapeste, capital da Hungria. Nesse mesmo servidor estão outros sites similares, que permitem a realização de pesquisas por CNPJ e registros de inscrição estadual. O email de contato disponibilizado pelo telefone.ninja é o userhelp@post.com, há alguns dias era exibido o endereço support@topbusinessdata.com.

A semelhança e o fato de outros sites de consultas estarem hospedados no mesmo servidor é indício de que o telefone.ninja faz parte de um esquema maior de divulgação de dados. Embora o site não realize cobranças pela consulta dos dados, existem anúncios publicitários nas páginas que rendem dinheiro ao criador. Existe um limite de consultas que pode ser feito por uma mesma pessoa: após dez pesquisas é preciso esperar alguns dias para voltar a buscar – eles não fazem nenhum tipo de ofertas para desbloquear esse limite.

O site Tudo Sobre Todos, que também divulgava dados pessoais de brasileiros, foi lançado em 2015 e oferecia o primeiro acesso grátis para, depois, passar a cobrar os usuários que queriam fazer alguma consulta. A página chegou a ser investigada pelo Ministério Público, mas continua no ar. Os criadores do Telefone Ninja podem estar em um período de “amostra grátis”, para popularizar a página.

O jornal O Dia publicou na semana que o site telefone.ninja estaria espalhando vírus e roubando dados de quem o acessa, utilizando técnicas de phishing. Segundo Fabio Assolini, pesquisador da Kaspersky, não foram encontradas ameaças desse gênero. O perigo pode ser outro, na verdade: com os dados expostos, as informações podem alimentar ajudar cibercriminosos a formular emails se passando por empresas, pedindo dados de pagamento para regularizar alguma falsa pendência, por exemplo.

O Brasil é um dos poucos países da América Latina que ainda não possuem uma lei de proteção a dados pessoais. Atualmente, há ainda o PL 5276/16, hoje anexado ao PL 4060/2012, que aguarda parecer do relator em Comissão Especial da Câmara e o PL 6291/2016, que altera o Marco Civil para proibir o compartilhamento de dados dos assinantes de aplicações na internet.