Roubo gigante de dados pessoais inclui fotos
Investigações sobre megavazamento de dados pessoais mostra que hacker também roubou fotos que seriam de políticos
05/02/2021Entre as bases de dados do megavazamento que expôs 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, uma das que mais chamaram atenção foi a que trazia fotos de rosto.
De acordo com o anúncio do criminoso à época, há imagens de mais de 1 milhão de faces.
Há indícios, porém, de que as imagens são públicas e não pertencem a uma base de dados fechada.
Análise do jornal O Estado de S. Paulo com a empresa de cibersegurança Syhunt detectou que as imagens contidas nas amostras do hacker são de candidatos a cargos políticos – aspirantes a vereador, deputado, prefeito e governador.
São as mesmas fotos utilizadas pelo Tribunal Superior Eleitoral (TSE) em sua plataforma DivulgaCand, que permite aos eleitores pesquisar candidatos durante as eleições.
As imagens analisadas faziam parte de um dos arquivos postados pelo hacker no início de janeiro em um fórum na internet – o link foi tirado do ar no final da semana passada.
Esse arquivo trazia pacotes de dados que servem como uma espécie de “amostra grátis” daquilo que o criminoso diz ter. São 37 categorias para pessoa física, nas quais ele colocou dados aleatórios de cerca de mil pessoas.
Dentro da pasta de fotos, há outras cinco pastas com os nomes 2012, 2014, 2016, 2018 e 2020 – todos são anos eleitorais. Entre as 37 categorias, essa é a única com pastas indicando informações nesses anos. No anúncio, o hacker indicava ter compilado os dados em 2019.
Análise do megavazamento
A análise escolheu aleatoriamente dez fotos em cada uma das pastas – três delas (2012, 2016 e 2020) tinham, em média, 400 fotos.
Outras duas (2014 e 2018) tinham cerca de 25 fotos. No total, a reportagem analisou 50 imagens. Todas eram de candidatos e podiam ser encontradas no site do TSE.
Não há padrão de distribuição: há candidatos a vereadores em cidades em todas as regiões do Brasil. O mesmo vale para candidatos a deputado estadual e federal. Há também nomes eleitos e não eleitos.
O nome mais conhecido que apareceu na análise da reportagem foi o de Flávio Dino (PCdoB), governador do Maranhão. Há fotos dele nas pastas de 2014 e 2018.
A existência de pessoas com mais de uma foto, como aconteceu com Dino, é mais um indício de que as imagens pertencem ao banco de imagens de candidatos, pois uma mesma pessoa pode se candidatar a cargos públicos em processos eleitorais diferentes.
“Existem dois caminhos para obter essas imagens: ou foi diretamente no TSE ou em algum outro banco de dados que utiliza as fotos”, diz Felipe Daragon, fundador da Syhunt. Apesar de estarem disponíveis publicamente no site do TSE, as imagens são ofertadas para utilização em outros sites.
Origem dos dados
O banco de fotos apenas com imagens de políticos reforça uma tese que vem ganhando força entre especialistas de segurança: os dados que estão à venda na internet vieram de fontes diversas, e não apenas de um único lugar.
Por enquanto, ainda não há respostas sobre o “ponto zero” do vazamento. O Serasa, inicialmente apontado como possível fonte, nega que seja a origem.
Daragon ressalta, porém, que a base de fotos com rostos de candidatos não é sinal de que todo o pacote do hacker seja composto apenas por informações públicas.
Procurado pela reportagem, o TSE reforçou a ideia de que as imagens estão disponíveis em um banco público.
Questionado se a captura de imagens pelo hacker poderia estar ligada ao ataque sofrido pelo órgão no dia de votação do primeiro turno das eleições de 2020, o órgão disse que o ataque “não tem relação com os dados constantes do megavazamento”. (AE)