Cartórios de São Paulo deixaram exposto na
internet quase 1 milhão de arquivos contendo dados de adultos, crianças e
adolescentes. As informações ficaram pelo menos dois meses no ar, à
disposição de quem quisesse copiar.
Foram vazados 988 mil arquivos. Um único deles é um banco de dados com 381 mil certidões de nascimento, com informações de mais de 1 milhão de pais (339 mil), mães (378 mil) e filhos (381 mil).
O ZN pesquisou essa base de dados e localizou várias pessoas em redes sociais e em registros públicos. Há, por exemplo, uma cabeleireira que ficou viúva e cuida de uma jovem e de um adolescente, um policial militar, um pai descendente de chineses que não paga pensão a seu filho de sete anos e até uma pessoa que responde processo por receptação e furto na Justiça.
O conjunto de dados informa os nomes dos filhos, seus respectivos pais, as datas de nascimento, números da certidão e até se as crianças nasceram vivas ou mortas. É possível saber quais crianças vieram ao mundo sem pai, sem mãe ou sem ambos. Entre outras informações, o banco de dados permite obter uma relação de crianças registradas em nome de casais homossexuais. Algumas crianças hoje têm dois anos de idade; outras já são adolescentes e até adultas.
Os outros bancos de dados vazados também estavam relacionados a cartórios de pessoas naturais, como certidões de casamento, óbito e divórcio.
Consultados pelo ZN, uma ONG de proteção de dados e um ex-delegado da Polícia Federal que hoje é tabelião, consideraram crime o vazamento de dados.
Na avaliação dos especialistas, o caso é extremamente prejudicial aos cidadãos porque há exposição de informações sensíveis que hoje podem estar sendo comercializadas na chamada "deep web" ou em mercados ilegais.
O funcionário conversou com o grupo de pesquisadores Certo, que atua com segurança da informação e proteção da privacidade. Foram eles que, no final de agosto, alertaram a Arpen sobre a exposição de dados das pessoas.
O erro foi corrigido para evitar novos problemas. Mas, para reduzir danos já causados, o grupo Certo solicitou que fosse feita a "divulgação responsável" do vazamento. A partir daí, a Arpen suspendeu a comunicação com os pesquisadores, que os ajudaram gratuitamente.
Procurada pela ZN durante dois dias, a Arpen se negou a conceder entrevistas. Enviou nota em que disse ter comunicado "autoridades" sobre o fato, mas não informou quando fez isso.
De
acordo com o tabelião e ex-delegado da PF Sandro Ferreira, que atuava
com crimes cibernéticos, as informações dos cartórios são públicas e
podem ser obtidas, uma a uma, mediante pagamento, mas há regras e
restrições para isso.
Pela lei, por exemplo, uma pessoa que integra um programa de proteção a testemunhas tem direito que sua certidão de nascimento fique sigilosa, afirmou Ferreira. Além disso, a lei ainda permite criar uma nova certidão para proteger uma pessoa em situação de risco.
É crime divulgar esses dados. Você pode descobrir que aquela testemunha mudou de nome para 'Fulano'
Sandro Ferreira, ex-delegado de polícia e tabelião
Segundo ele, crianças adotadas também teriam dificuldades. "Quando você faz uma adoção, o estatuto proíbe que você emita certidões com a condição anterior da pessoa adotada", afirma Ferreira. "Você tem que zelar pela intimidade dela."
Uma relação de nomes de pais de filhos natimortos poderia ser usada por empresas para vender medicamentos como antidepressivos, por exemplo, diz Ferreira. "[Quem teve acesso à] base de dados dos pais pode vendê-la. É crime. Tem vários tipos de coisas ruins que podem ser feitas", afirma.
"São informações que permitem colocar as pessoas em grupinhos, para alguma situação de achaque ou alguma outra coisa mais arriscada", exemplifica. "Se essas informações caírem na mão de alguém, podem ser usadas de maneira danosa. Você pode saber ali quem é mãe solteira, quem vive sozinha."
Depois que foram acionados, os cartórios corrigiram a falha técnica, mas deixaram de fazer a divulgação dos fatos. Bruna diz que uma das razões seja o temor de serem investigados por promotores e policiais. "Não queriam ser responsabilizados ou não queriam trazer mais atenção para o vazamento", diz.
Para Bruna, se preparar para impedir problemas futuros não basta. "É preciso saber se teve uma medida de mitigação [dos problemas anteriores]", disse Bruna.
Segundo ele, a Lei Geral de Proteção de Dados, que entra em vigor no ano que vem, obriga as empresas a informar a sociedade quando há um vazamento. Para Bruna, o episódio da Arpen mostra como as instituições tratam o problema, faltando alguns meses para serem forçadas a tomarem atitudes de segurança e transparência.
Na nota, a Arpen admitiu que havia "vulnerabilidade no repositório de backup de arquivos de validação de segundas vias de certidões". Disse que corrigiu o problema "imediatamente". Segundo o Certo, os dados ficaram no ar por pelo menos dois meses.
Sem indicar a data ou apresentar documentos, a Arpen diz que "acionou as autoridades responsáveis para apurar eventual cometimento de crime cibernético".
A entidade ainda diz que o conteúdo vazado é "inteiramente público", mas sem fazer nenhuma menção aos riscos indicados por Ferreira e Bruna Santos por serem dados em massa.
Em 2015, o discurso da Arpen era diferente. A associação disse que o uso dessa quantidade de informações em massa, por parte de terceiros privados, significava "vazamento de dados" e permita "o controle sobre as próprias pessoas":
(...) informações estas que estão fragmentadas pelos diferentes arquivos dos mais de 10 (dez) mil cartórios brasileiros, inclusive maternidades, de modo a evitar a centralização de dados, e por consequência o controle sobre as próprias pessoas, uma vez que tais registros constituem a base de dados jurídica do país: indicam quem somos, os vínculos familiares que possuímos, nossa capacidade jurídica, idade, aposentadoria, filiação e matrimônio", disse nota da Arpen de 2015, ao criticar o vazamento de dados de cartórios para terceiros.
Em resposta ao ZN, a entidade diz agora que buscou ajuda da UFSC (Universidade Federal de Santa Catarina). Eles vão fazer uma auditoria para verificar eventuais novas correções necessárias. "A Arpen reafirma seu compromisso em usar as tecnologias mais modernas e avançadas, de forma a atingir os mais elevados padrões de segurança da informação e promover a cidadania de toda a população brasileira."
Foram vazados 988 mil arquivos. Um único deles é um banco de dados com 381 mil certidões de nascimento, com informações de mais de 1 milhão de pais (339 mil), mães (378 mil) e filhos (381 mil).
O ZN pesquisou essa base de dados e localizou várias pessoas em redes sociais e em registros públicos. Há, por exemplo, uma cabeleireira que ficou viúva e cuida de uma jovem e de um adolescente, um policial militar, um pai descendente de chineses que não paga pensão a seu filho de sete anos e até uma pessoa que responde processo por receptação e furto na Justiça.
O conjunto de dados informa os nomes dos filhos, seus respectivos pais, as datas de nascimento, números da certidão e até se as crianças nasceram vivas ou mortas. É possível saber quais crianças vieram ao mundo sem pai, sem mãe ou sem ambos. Entre outras informações, o banco de dados permite obter uma relação de crianças registradas em nome de casais homossexuais. Algumas crianças hoje têm dois anos de idade; outras já são adolescentes e até adultas.
Os outros bancos de dados vazados também estavam relacionados a cartórios de pessoas naturais, como certidões de casamento, óbito e divórcio.
Consultados pelo ZN, uma ONG de proteção de dados e um ex-delegado da Polícia Federal que hoje é tabelião, consideraram crime o vazamento de dados.
Na avaliação dos especialistas, o caso é extremamente prejudicial aos cidadãos porque há exposição de informações sensíveis que hoje podem estar sendo comercializadas na chamada "deep web" ou em mercados ilegais.
Erro dos cartórios permitiu vazamento, mostra documento
Troca de mensagens de funcionário da Arpen-SP (Associação dos Registradores de Pessoas Naturais de São Paulo) mostra que a causa do vazamento foi uma falha no sistema da entidade, que congrega cartórios do estado para esse tipo de registro.O funcionário conversou com o grupo de pesquisadores Certo, que atua com segurança da informação e proteção da privacidade. Foram eles que, no final de agosto, alertaram a Arpen sobre a exposição de dados das pessoas.
O erro foi corrigido para evitar novos problemas. Mas, para reduzir danos já causados, o grupo Certo solicitou que fosse feita a "divulgação responsável" do vazamento. A partir daí, a Arpen suspendeu a comunicação com os pesquisadores, que os ajudaram gratuitamente.
Procurada pela ZN durante dois dias, a Arpen se negou a conceder entrevistas. Enviou nota em que disse ter comunicado "autoridades" sobre o fato, mas não informou quando fez isso.
Ixi, vazou!
Veja outros casos de vazamento de dados pessoais:- Banco Pan - Falha colocou no ar 1,2 milhão de arquivos com dados de clientes, como extratos bancários, cópias de carteiras de identidade e de habilitação, CPFs e comprovantes de residência.
- Detran - Vazamento expôs dados de 70 mil pessoas a partir de uma falha na unidade do Detran do Rio Grande do Norte.
- Banco Inter - O banco pagou R$ 1,5 milhão após deixar vazar dados de 19 mil clientes, como nome, número de documentos, número das contas.
- Conselho Nacional de Justiça - Dados pessoais de juízes e servidores do Judiciário de todo o país, além de senhas e CPFs, ficaram expostos. Tudo estava armazenado no CNJ.
- Dados de IR - Declarações de imposto de renda, endereços, CPFs e boletos pagos por microempresários ficaram na internet por causa de um serviço prestado por uma empresa. Havia 16 mil documentos dentre 39 mil arquivos. O total de dados chegava a 1,5 gigabyte.
Dados públicos também têm regra de acesso
De
acordo com o tabelião e ex-delegado da PF Sandro Ferreira, que atuava
com crimes cibernéticos, as informações dos cartórios são públicas e
podem ser obtidas, uma a uma, mediante pagamento, mas há regras e
restrições para isso.Pela lei, por exemplo, uma pessoa que integra um programa de proteção a testemunhas tem direito que sua certidão de nascimento fique sigilosa, afirmou Ferreira. Além disso, a lei ainda permite criar uma nova certidão para proteger uma pessoa em situação de risco.
É crime divulgar esses dados. Você pode descobrir que aquela testemunha mudou de nome para 'Fulano'
Sandro Ferreira, ex-delegado de polícia e tabelião
Segundo ele, crianças adotadas também teriam dificuldades. "Quando você faz uma adoção, o estatuto proíbe que você emita certidões com a condição anterior da pessoa adotada", afirma Ferreira. "Você tem que zelar pela intimidade dela."
Uma relação de nomes de pais de filhos natimortos poderia ser usada por empresas para vender medicamentos como antidepressivos, por exemplo, diz Ferreira. "[Quem teve acesso à] base de dados dos pais pode vendê-la. É crime. Tem vários tipos de coisas ruins que podem ser feitas", afirma.
Lista de homossexuais preocupa, diz especialista
Com apenas um dos bancos de dados expostos, o ZN conseguiu identificar homossexuais que registram crianças em seus nomes. Essa possibilidade é preocupante, de acordo com a analista de políticas públicas da ONG Coding Rights, a advogada Bruna Santos, que trabalha a defesa da privacidade de informações dos cidadãos."São informações que permitem colocar as pessoas em grupinhos, para alguma situação de achaque ou alguma outra coisa mais arriscada", exemplifica. "Se essas informações caírem na mão de alguém, podem ser usadas de maneira danosa. Você pode saber ali quem é mãe solteira, quem vive sozinha."
Depois que foram acionados, os cartórios corrigiram a falha técnica, mas deixaram de fazer a divulgação dos fatos. Bruna diz que uma das razões seja o temor de serem investigados por promotores e policiais. "Não queriam ser responsabilizados ou não queriam trazer mais atenção para o vazamento", diz.
Para Bruna, se preparar para impedir problemas futuros não basta. "É preciso saber se teve uma medida de mitigação [dos problemas anteriores]", disse Bruna.
Segundo ele, a Lei Geral de Proteção de Dados, que entra em vigor no ano que vem, obriga as empresas a informar a sociedade quando há um vazamento. Para Bruna, o episódio da Arpen mostra como as instituições tratam o problema, faltando alguns meses para serem forçadas a tomarem atitudes de segurança e transparência.
Cartórios citam dados públicos, mas já criticaram vazamentos
Durante dois dias, o ZN pediu entrevista com representantes da Arpen-SP para saber que medidas foram tomadas e por que deixou de se comunicar com os pesquisadores do grupo Certo depois que foi solicitada a divulgação do vazamento. A entidade enviou uma nota sem, no entanto, responder todas as questões.Na nota, a Arpen admitiu que havia "vulnerabilidade no repositório de backup de arquivos de validação de segundas vias de certidões". Disse que corrigiu o problema "imediatamente". Segundo o Certo, os dados ficaram no ar por pelo menos dois meses.
Sem indicar a data ou apresentar documentos, a Arpen diz que "acionou as autoridades responsáveis para apurar eventual cometimento de crime cibernético".
A entidade ainda diz que o conteúdo vazado é "inteiramente público", mas sem fazer nenhuma menção aos riscos indicados por Ferreira e Bruna Santos por serem dados em massa.
Em 2015, o discurso da Arpen era diferente. A associação disse que o uso dessa quantidade de informações em massa, por parte de terceiros privados, significava "vazamento de dados" e permita "o controle sobre as próprias pessoas":
(...) informações estas que estão fragmentadas pelos diferentes arquivos dos mais de 10 (dez) mil cartórios brasileiros, inclusive maternidades, de modo a evitar a centralização de dados, e por consequência o controle sobre as próprias pessoas, uma vez que tais registros constituem a base de dados jurídica do país: indicam quem somos, os vínculos familiares que possuímos, nossa capacidade jurídica, idade, aposentadoria, filiação e matrimônio", disse nota da Arpen de 2015, ao criticar o vazamento de dados de cartórios para terceiros.
Em resposta ao ZN, a entidade diz agora que buscou ajuda da UFSC (Universidade Federal de Santa Catarina). Eles vão fazer uma auditoria para verificar eventuais novas correções necessárias. "A Arpen reafirma seu compromisso em usar as tecnologias mais modernas e avançadas, de forma a atingir os mais elevados padrões de segurança da informação e promover a cidadania de toda a população brasileira."