Atenção, motorista! Você pode ter tido seus dados expostos; entenda

A segurança digital dos brasileiros está em xeque após a revelação de que cerca de 33 milhões de motoristas tiveram seus dados expostos. Credenciais de acesso a um sistema federal de vistorias veiculares vazaram, permitindo que criminosos acessassem uma enorme quantidade de informações privadas. O incidente, que envolveu o Sistema de Certificação de Segurança Veicular (SisCSV), reforça a vulnerabilidade de registros federais.

A falha permitiu consultas a informações pessoais e de veículos de milhões de brasileiros, atingindo laudos de vistoria únicos realizados até 2024. O Serviço Federal de Processamento de Dados (Serpro) confirmou que o sistema afetado era uma versão legada, conhecida como Sislv. O Serpro afirmou que está atuando na infraestrutura para elevar os padrões de segurança da aplicação.

Quais dados expostos foram comprometidos?

O ataque ao sistema federal deixou expostos dados sensíveis de milhões de motoristas. Entre as informações roubadas, estão nome completo, CPF e endereço residencial dos cidadãos.

A lista detalhada inclui também o número Renavam e os dados do vistoriador, além de informações da vistoria, como data e localização. De forma crítica, fotos do veículo, placa, chassi e ano de fabricação também foram vazados e agora podem estar sendo negociados.

Por que 33 milhões de motoristas tiveram seus dados expostos?

A vulnerabilidade explorada reside em uma falha de segurança que é comum em muitos sistemas antigos: a ausência do segundo fator de autenticação (2FA). Sem essa camada adicional, logins e senhas de funcionários, vazadas em outros incidentes, foram utilizadas para invadir o sistema.

Esse método de invasão é conhecido no setor de cibersegurança como credential stuffing, onde criminosos reutilizam credenciais corporativas. O Serpro corroborou essa hipótese, indicando que os acessos ao Sislv Legado ocorreram por meio de credenciais válidas.

Leia também:

• Não fique mais com dúvidas: afinal, qual é a diferença entre coentro e salsinha?
• Empresa de telefonia vai à falência; saiba qual
• Doramas: entenda porque fazem tanto sucesso e como a febre começou!

Qual é o risco dos dados expostos no painel do crime?

As informações roubadas alimentam os chamados “painéis do crime“, plataformas clandestinas onde são vendidas ilegalmente. Golpistas chegam a pagar entre R$ 10 e R$ 200 por consulta para obter dados completos, incluindo CPF, endereço e detalhes veiculares.

Com esse perfil detalhado, criminosos conseguem montar estratégias de engenharia social extremamente convincentes, facilitando golpes de spear phishing. O risco vai além do financeiro; saber o endereço e o carro da vítima pode expor padrões de rotina e comprometer a segurança pessoal do cidadão.

A LGPD obriga a empresa a pagar indenização?

A Lei Geral de Proteção de Dados (LGPD) exige que empresas e órgãos públicos adotem medidas de segurança para proteger informações pessoais, mesmo após sua entrada em vigor em 2020. O Superior Tribunal de Justiça (STJ) já decidiu que, independentemente da origem do vazamento (como um ataque hacker), a empresa é responsável pela proteção adequada dos dados.

O controlador que causar dano patrimonial ou moral, individual ou coletivo, é obrigado a repará-lo, independentemente da existência de culpa. Isso significa que a ausência de segurança suficiente pode gerar a obrigação de indenizar o titular afetado pelo dano.

O que fazer se seus dados foram expostos?

Se você suspeita de um vazamento que o afete, a primeira medida é atuar rapidamente: troque imediatamente a senha em todos os serviços onde a mesma combinação era utilizada. Utilize senhas longas, complexas e exclusivas para cada plataforma.

É fundamental também ativar o segundo fator de autenticação (2FA) em todas as contas que oferecem o recurso. O 2FA impede o acesso de um golpista, mesmo que ele possua seu login e senha, adicionando uma camada de segurança.

Monitore sua vida financeira usando o sistema Registrato, do Banco Central, para acompanhar registros de dívidas ou contas abertas em seu CPF. Por fim, redobre a atenção contra qualquer comunicação urgente, pois a posse dos seus dados faz com que os golpes de phishing fiquem muito mais convincentes. Se houver prejuízo financeiro, registre um Boletim de Ocorrência (B.O.).