Cartórios de São Paulo deixaram exposto na
internet quase 1 milhão de arquivos contendo dados de adultos, crianças e
adolescentes. As informações ficaram pelo menos dois meses no ar, à
disposição de quem quisesse copiar.
Foram vazados 988 mil
arquivos. Um único deles é um banco de dados com 381 mil certidões de
nascimento, com informações de mais de 1 milhão de pais (339 mil), mães
(378 mil) e filhos (381 mil).
O ZN pesquisou
essa base de dados e localizou várias pessoas em redes sociais e em
registros públicos. Há, por exemplo, uma cabeleireira que ficou viúva e
cuida de uma jovem e de um adolescente, um policial militar, um pai
descendente de chineses que não paga pensão a seu filho de sete anos e
até uma pessoa que responde processo por receptação e furto na Justiça.
O
conjunto de dados informa os nomes dos filhos, seus respectivos pais,
as datas de nascimento, números da certidão e até se as crianças
nasceram vivas ou mortas. É possível saber quais crianças vieram ao
mundo sem pai, sem mãe ou sem ambos. Entre outras informações, o banco
de dados permite obter uma relação de crianças registradas em nome de
casais homossexuais. Algumas crianças hoje têm dois anos de idade;
outras já são adolescentes e até adultas.
Os outros bancos de
dados vazados também estavam relacionados a cartórios de pessoas
naturais, como certidões de casamento, óbito e divórcio.
Consultados pelo ZN, uma ONG de proteção de dados e um ex-delegado da Polícia Federal que hoje é tabelião, consideraram crime o vazamento de dados.
Na
avaliação dos especialistas, o caso é extremamente prejudicial aos
cidadãos porque há exposição de informações sensíveis que hoje podem
estar sendo comercializadas na chamada "deep web" ou em mercados
ilegais.
Erro dos cartórios permitiu vazamento, mostra documento
Troca
de mensagens de funcionário da Arpen-SP (Associação dos Registradores
de Pessoas Naturais de São Paulo) mostra que a causa do vazamento foi
uma falha no sistema da entidade, que congrega cartórios do estado para
esse tipo de registro.
Troca de mensagens entre funcionário de associação de cartórios e um grupo de pesquisadores de segurança
Imagem: ReproduçãoO funcionário conversou com o grupo de pesquisadores Certo, que atua com segurança da informação e proteção da privacidade. Foram eles que, no final de agosto, alertaram a Arpen sobre a exposição de dados das pessoas.
O
erro foi corrigido para evitar novos problemas. Mas, para reduzir danos
já causados, o grupo Certo solicitou que fosse feita a "divulgação
responsável" do vazamento. A partir daí, a Arpen suspendeu a comunicação
com os pesquisadores, que os ajudaram gratuitamente.
Procurada pela ZN
durante dois dias, a Arpen se negou a conceder entrevistas. Enviou nota
em que disse ter comunicado "autoridades" sobre o fato, mas não
informou quando fez isso.
Ixi, vazou!
Veja outros casos de vazamento de dados pessoais:
Banco Pan - Falha colocou no ar
1,2 milhão de arquivos com dados de clientes, como extratos bancários,
cópias de carteiras de identidade e de habilitação, CPFs e comprovantes
de residência.
Detran - Vazamento expôs dados de 70 mil pessoas a partir de uma falha na unidade do Detran do Rio Grande do Norte.
Banco Inter - O banco pagou R$ 1,5 milhão após deixar vazar dados de 19 mil clientes, como nome, número de documentos, número das contas.
Conselho Nacional de Justiça - Dados pessoais de juízes e servidores do Judiciário de todo o país, além de senhas e CPFs, ficaram expostos. Tudo estava armazenado no CNJ.
Dados
de IR - Declarações de imposto de renda, endereços, CPFs e boletos
pagos por microempresários ficaram na internet por causa de um serviço
prestado por uma empresa. Havia 16 mil documentos dentre 39 mil
arquivos. O total de dados chegava a 1,5 gigabyte.
Dados públicos também têm regra de acesso
De
acordo com o tabelião e ex-delegado da PF Sandro Ferreira, que atuava
com crimes cibernéticos, as informações dos cartórios são públicas e
podem ser obtidas, uma a uma, mediante pagamento, mas há regras e
restrições para isso.
Pela lei, por exemplo, uma pessoa que
integra um programa de proteção a testemunhas tem direito que sua
certidão de nascimento fique sigilosa, afirmou Ferreira. Além disso, a
lei ainda permite criar uma nova certidão para proteger uma pessoa em
situação de risco.
É crime divulgar esses dados. Você pode descobrir que aquela testemunha mudou de nome para 'Fulano' Sandro Ferreira, ex-delegado de polícia e tabelião
Segundo
ele, crianças adotadas também teriam dificuldades. "Quando você faz uma
adoção, o estatuto proíbe que você emita certidões com a condição
anterior da pessoa adotada", afirma Ferreira. "Você tem que zelar pela
intimidade dela."
Uma relação de nomes de pais de filhos
natimortos poderia ser usada por empresas para vender medicamentos como
antidepressivos, por exemplo, diz Ferreira. "[Quem teve acesso à] base
de dados dos pais pode vendê-la. É crime. Tem vários tipos de coisas
ruins que podem ser feitas", afirma.
Lista de homossexuais preocupa, diz especialista
Com apenas um dos bancos de dados expostos, o ZN
conseguiu identificar homossexuais que registram crianças em seus
nomes. Essa possibilidade é preocupante, de acordo com a analista de
políticas públicas da ONG Coding Rights, a advogada Bruna Santos, que
trabalha a defesa da privacidade de informações dos cidadãos.
"São
informações que permitem colocar as pessoas em grupinhos, para alguma
situação de achaque ou alguma outra coisa mais arriscada", exemplifica.
"Se essas informações caírem na mão de alguém, podem ser usadas de
maneira danosa. Você pode saber ali quem é mãe solteira, quem vive
sozinha."
Depois que foram acionados, os cartórios corrigiram a
falha técnica, mas deixaram de fazer a divulgação dos fatos. Bruna diz
que uma das razões seja o temor de serem investigados por promotores e policiais. "Não queriam ser responsabilizados ou não queriam trazer mais atenção para o vazamento", diz.
Para
Bruna, se preparar para impedir problemas futuros não basta. "É preciso
saber se teve uma medida de mitigação [dos problemas anteriores]",
disse Bruna.
Segundo ele, a Lei Geral de Proteção de Dados, que
entra em vigor no ano que vem, obriga as empresas a informar a sociedade
quando há um vazamento. Para Bruna, o episódio da Arpen mostra como as
instituições tratam o problema, faltando alguns meses para serem
forçadas a tomarem atitudes de segurança e transparência.
Cartórios citam dados públicos, mas já criticaram vazamentos
Durante dois dias, o ZN
pediu entrevista com representantes da Arpen-SP para saber que medidas
foram tomadas e por que deixou de se comunicar com os pesquisadores do
grupo Certo depois que foi solicitada a divulgação do vazamento. A
entidade enviou uma nota sem, no entanto, responder todas as questões.
Na
nota, a Arpen admitiu que havia "vulnerabilidade no repositório de
backup de arquivos de validação de segundas vias de certidões". Disse
que corrigiu o problema "imediatamente". Segundo o Certo, os dados
ficaram no ar por pelo menos dois meses.
Sem indicar a data ou
apresentar documentos, a Arpen diz que "acionou as autoridades
responsáveis para apurar eventual cometimento de crime cibernético".
A
entidade ainda diz que o conteúdo vazado é "inteiramente público", mas
sem fazer nenhuma menção aos riscos indicados por Ferreira e Bruna
Santos por serem dados em massa.
Em 2015, o discurso da Arpen era
diferente. A associação disse que o uso dessa quantidade de informações
em massa, por parte de terceiros privados, significava "vazamento de
dados" e permita "o controle sobre as próprias pessoas":
(...)
informações estas que estão fragmentadas pelos diferentes arquivos dos
mais de 10 (dez) mil cartórios brasileiros, inclusive maternidades, de
modo a evitar a centralização de dados, e por consequência o controle
sobre as próprias pessoas, uma vez que tais registros constituem a base
de dados jurídica do país: indicam quem somos, os vínculos familiares
que possuímos, nossa capacidade jurídica, idade, aposentadoria, filiação
e matrimônio", disse nota da Arpen de 2015, ao criticar o vazamento de
dados de cartórios para terceiros.
Em resposta ao ZN,
a entidade diz agora que buscou ajuda da UFSC (Universidade Federal de
Santa Catarina). Eles vão fazer uma auditoria para verificar eventuais
novas correções necessárias. "A Arpen reafirma seu compromisso em usar
as tecnologias mais modernas e avançadas, de forma a atingir os mais
elevados padrões de segurança da informação e promover a cidadania de
toda a população brasileira."