Cibersegurança: grande vazamento expõe dados de milhões

Um dos maiores vazamentos de dados da história recente expôs informações pessoais de aproximadamente 340 milhões de pessoas em pelo menos 27 países. A brecha, descoberta por pesquisadores de cibersegurança independentes e posteriormente confirmada pelas autoridades regulatórias de proteção de dados da Europa e dos Estados Unidos, envolveu um agregador de dados de marketing que coletava e revendia informações de perfil de consumidores para anunciantes digitais.

O que foi exposto e como aconteceu

Os dados comprometidos incluem nome completo, endereço de e-mail, número de telefone, endereço residencial, histórico de compras online e informações de perfil comportamental de centenas de milhões de pessoas. A brecha ocorreu por uma combinação de fatores: um bucket de armazenamento em nuvem mal configurado, sem autenticação, e uma chave de API com permissões excessivas que permitia acesso de leitura a todos os registros.

O banco de dados ficou acessível publicamente por pelo menos 47 dias antes de ser descoberto. Durante esse período, ferramentas automatizadas de varredura já haviam indexado e possivelmente copiado os dados. Pesquisadores encontraram evidências de que ao menos três grupos de ameaça conhecidos acessaram o material, com indicações de uso para campanhas de phishing e tentativas de fraude financeira.

Resposta das autoridades e o que os usuários devem fazer

A ANPD brasileira abriu procedimento administrativo para verificar se cidadãos brasileiros foram afetados e se o controlador dos dados cumpriu as obrigações de notificação previstas na LGPD. Na Europa, o GDPR prevê multas de até 4% do faturamento global para infrações dessa natureza. Para usuários, as recomendações imediatas são: ativar autenticação em dois fatores em todas as contas relevantes, monitorar movimentações financeiras e desconfiar de e-mails ou ligações que usem informações pessoais de forma incomum — sinal claro de que os dados já estão sendo usados por agentes maliciosos.