Novo vazamento expõe dados de cartão de crédito de 12 milhões de brasileiros
O ano de 2021 tem tudo para ser um dos piores no que diz respeito ao vazamento de dados dos brasileiros. E agora mais um entra para essa lista, já que dados de cerca de 12 milhões de pessoas podem estar circulando na internet. Desde a semana passada, as informações – que vão desde CPFs, CNPJs e números de celular a dígitos de cartão de crédito – estão à venda no mesmo fórum onde eram comercializados conteúdos do megazavamento de janeiro, que expôs 223 milhões de usuários.
Os dados são apresentados nesse fórum por um hacker que afirma ter coletado as informações em fevereiro de 2021. O pacote completo custa US$ 50 mil (R$ 285 mil na conversão direta), e traz nome, e-mail, telefone, CPF ou CNPJ, senhas de acesso e números de cartões de crédito de, mais precisamente, 12.476.181 contas. Segundo o Estadão, uma prévia desses dados pode ser vista no tal fórum, mas as amostras não são exibidas por completo – os dados podem estar incompletos ou talvez seja uma maneira do hacker evitar que o conteúdo inteiro de cada pessoa seja divulgado.
Na postagem do fórum, o hacker destaca que os dados vêm principalmente da Eduzz, uma plataforma de venda de produtos digitais focada em pequenos e médios empreendedores. A Eduzz também é dona de outros serviços inclusos no vazamento, entre eles a Nutror, focada em gerenciamento de cursos online; a Alumy, que permite criar um clube de assinatura digital para dar aulas à distância; a Blinkett, plataforma de eventos; e a Jobbz, para a contratação de profissionais autônomos para prestação de serviços.
De acordo com o Tecnoblog, todos os serviços da Eduzz possuem um login único compartilhado entre eles.
Em e-mail enviado aos clientes, a Eduzz diz que “as informações que supostamente foram copiadas são referentes a uma parcela limitada da base de dados e contém informações pessoais como nome, CPF, endereço e telefones”. No entanto, a companhia nega que os dados completos cartões de créditos dos usuários vazaram na internet porque as informações “ficam em posse dos nossos parceiros de pagamento, que não foram alvos do ataque”. Embora garanta que não guarde o CVV (o código de segurança no verso do cartão), a Eduzz confirma que “partes do cartão de crédito” dos clientes ficam sim armazenadas no banco de dados da empresa.
O hacker responsável pela venda dos dados diz que a Eduzz usa o SHA1, um algoritmo de criptografia que desde 2017 se mostrou uma solução inviável e insegura devido a uma falha grave que permite descriptografar o conteúdo sem muito esforço. É comum que as empresas utilizem um algoritmo criptografado para evitar que informações pessoais dos usuários fiquem à mostra em caso de um vazamento.
Por medidas de segurança, a Eduzz indica aos usuários que troquem suas senhas. Além disso, afirma que, quanto ao hack, “repudia veementemente essa ação e está realizando uma investigação em conjunto com consultorias especializadas em segurança da informação e atuando com times internos e externos para minimizar eventuais impactos deste acesso indevido e delituoso aos dados”.