A página online do Fui Vaz foi criada para determinar quem foi afetado pelo vazamento de 223 milhões de CPF e saber o que há de outros conhecimentos não públicos estão à venda, adicionando telefone, endereço, classificação de crédito, etc. , após várias perguntas sobre segurança e privacidade. O desenvolvedor Allan Fernando tentou resolver algumas dúvidas e publicou o código fonte do sistema (sem as credenciais de login). Especialistas dizem onde o serviço pode melhorar.
CPF (Imagem: Divulgação)
Conforme revelado pelo Tecnoblog, o conhecimento filtrado está à venda na internet escura e internet aberta, com um pagamento somente em bitcoin e custos que variam de US$ 0,075 a US$ 1 consistentes com CPF (dependendo do valor comprado).
Para ganhar maior credibilidade, o comerciante apresentou um padrão frouxo das 37 categorias, e-mail, telefone, endereço, cartão, título de eleitor, situação da Receita Federal, trabalho, foto presencial, devedores, renda, INSS, FGTS, entre outras.
Alguns CPF não têm conhecimento para determinadas categorias: por exemplo, apenas uma parcela dos brasileiros ganha vantagens com o suporte ao INSS, então o distribuidor apresenta em uma lista maciça os dados que possui para CPF, como você pode ver no símbolo abaixo:
A lista mostra que tipo de dados foi exposto para CPF (Imagem: Reprodução)
O símbolo – indica que conhecimento está exposto em um CPF Expresso; caso contrário, o símbolo aparece ×. Os números mais sensíveis correspondem às outras 37 categorias do vazamento: 01 corresponde a “básico” (nome, sexo, nome do pai); 02 é “e-mail”; 03 é “telefone”; E assim por diante.
Você não precisa ter um padrão de filtro solto para esta lista, como foi apresentado (também para liberação) como uma descarga separada. Além disso, há uma lista de 223 milhões de CPF com data de nascimento e chamada completa que foi publicada na íntegra sem custo.
Allan usa esses arquivos de texto para informar o conhecimento que foi filtrado através da pessoa, sem divulgar os dados em si:
O site mostra as categorias em que seu conhecimento foi divulgado (Imagem: Reprodução/Filtro)
Após várias solicitações, Allan postou o código-fonte do site no GitHub, que necessariamente questiona a lista publicada através do hacker, que discutimos anteriormente, para descobrir qual é o conhecimento em todo o vazamento.
O desenvolvedor usou php para desafiar um banco de dados mongodb. É obrigatório ter um nome de usuário e senha para essas informações, que Allan não divulgou. “O banco de dados e os arquivos CSV para gerá-lo não serão publicados, este código é usado apenas para mostrar a capacidade do site”, explica ele no GitHub.
No entanto, há aqueles que suspeitam do Vazado Fui. ” Não sei exatamente o que dizer para quem não aceita como verdade comigo, criei o site porque acho que todo mundo tem o direito de saber se seu conhecimento foi vazado”, disse Allan ao Tecnoblog.
Desde o lançamento do site, Allan diz que “há muitas outras pessoas que alugam o trabalho”, mas ele recebe dois tipos de perguntas:
Eu era Vazado abre o código (Imagem: Reprodução / GitHub)
Allan Fernando conta ao Tecnoblog que criou Fui Vazado por causa de sua própria dificuldade em saber se seu próprio conhecimento foi revelado. “A progressão total só foi alcançada através de mim”, diz ele. Nos últimos dias, você migrou do servidor e da base de conhecimento para lidar com o pico de demanda.
A maior ajuda vem na forma de doações para manter o site: “Tem muitas outras pessoas que doam, ainda não cobre todos os custos, mas já está ajudando muito”. Ele diz que o número total de acessos de solteiros chega a 700. 000, “então acho que o número de inquéritos já está se aproximando de um milhão ou mais”.
Segundo Allan, não há como saber o número exato de consultas porque não há fórmula de registro que regise seu histórico, nem mesmo o CPF e a data de nascimento apreendidos para a consulta; afirma ter apenas conhecimento do CloudFlare sobre endereços IP.
Perguntamos se seria imaginável vir com o único componente do CPF para consulta, e não o número completo, validando com a data de nascimento. Allan argumenta que “tal solicitação exigiria mais do que o banco de dados, que já está sobrecarregado”; e afirma que, devido à quantidade de dados, outras duas pessoas podem ter a mesma data de nascimento e o mesmo componente do CPF.
E a capacidade de usar um validador de número de CPF?”Ninguém me disse”, diz Allan, uma maneira que eu sei que validar isso seria com e-CPF, mas é caro e poucos têm, o que dificultaria o acesso de muitas outras pessoas ao site. “
A página online permite que você veja se o CPF foi filtrado (Imagem: Reprodução / Eu filtrado)
Segundo Gustavo Gus, especialista em segurança de dados e líder de rede do Projecto Tor, o Fui Vazado quer implementar pelo menos 3 melhorias, a primeira seria ter um formulário de opt-out: ou seja, a capacidade de salvar suas consultas na página online com o número do seu CPF. “Eu sei que a segurança é devido à escuridão, mas ninguém consentiu em usar o conhecimento na plataforma”, escreveu ele no Twitter. Outra sugestão é fazer upload de uma política de privacidade.
Mais importante, a plataforma merece proteger algoritmos de hash e sal do conhecimento, em vez de armazená-lo em texto simples, o que significa que serve para converter cada CPF em uma sequência de caracteres. base de conhecimento, eles não terão como saber a quem pertencem.
Isso exigiria mais recursos do site, que já tem um grande volume de acesso, mas Gustavo argumenta ao Tecnoblog: “Para criar uma plataforma de consulta, o desenvolvedor terá que colocar recursos para evoluir [expandir]; Eu percebo que isso é um trabalho voluntário, mas queremos práticas inteligentes de proteção. “
Diego Aranha, professor de ciência da computação da Universidade de Aarhus, na Dinamarca, dá algumas dicas sobre como manter a confidencialidade: uma delas é a função hash de penalidade, que exige que cada pergunta passe tempo computacional no dispositivo do usuário. “Qualquer um que tentar explorar a base será mais penalizado por fazê-lo em uma escala gigante. “
Outra opção é uma geração que já foi usada através do Google, chamada protocolo criptográfico para a intersecção pessoal de conjuntos. Aqui, o servidor criptografa o banco de dados de uma forma que permite consultas, mas destrói o banco de dados original. É claro que isso “depende de aceitar como verdadeiro no servidor para realmente remover a base delicada”, disse ele ao Tecnoblog.
Rafael Zanatta, diretor da Associação Brasileira de Pesquisa, disse no Twitter que “a atribuição de Allan pode se tornar um serviço público como componente de um plano estratégico de contingência”. Ele argumenta que “o Decomposição da Justiça deve pelo menos construir sua atribuição e código aberto.
No Tecnoblog, Zanatta explica que o Ministério da Justiça tem os recursos do FDD (Fundo de Direitos Difusos) e por isso seria maior criar tais projetos experimentais, a ANPD (Autoridade Nacional de Proteção de Dados), por outro lado, teria recursos mais escassos, um orçamento pequeno e pouco pessoal.
Para transformar o Fui Vazado em um serviço público, seria imaginável incluir uma portaria que cria a organização executora e convida especialistas de todo o Brasil para a tarefa. Zanatta vê a tarefa de Allan como “um caso de inovação cívica” que merece ser uma inspiração. Governo.
Além disso, merecemos romper com o conceito de que todos têm responsabilidade. Ela cita Julie E. Cohen, professora de direito da Universidade de Georgetown, que argumenta há anos que não é imaginável proteger a privacidade focando apenas em cada indivíduo. .
Para Zanatta, outras pessoas querem apoio do governo: links para Fui Vazado e dados de filtragem começaram a circular muito em grupos de WhatsApp, mas outras pessoas se sentem à deriva, sem saber o que fazer. Por exemplo, IdentifyTheft. gov, mantido através do governo dos EUA, que está ajudando os sofredores de declarações falsas.
O Vaza Fui mostra se foi afetado pelo vazamento de 223 milhões de CPF; alguns outros relatórios de ferramentas sobre CNPJ expostos
A filtragem inclui CPF, foto presencial, endereço, número de telefone, e-mail, score de crédito, salário e muito mais; Serasa nega ser fonte de conhecimento
O registro inclui conhecimentos do veículo, como placa, marca, estilo e chassi; vazamento exposto 220 milhões de brasileiros
A filtragem do conhecimento revelou 223 milhões de PPPs e 40 milhões de CNPJs; Serasa Experian nega ser a única com a informação
O vazamento inclui pontos principais de 40 milhões de NPCs, como créditos de dívida e ratings; Serasa nega ser fonte de conhecimento
Avaliações mais bem avaliadas