Saiba o que pode acontecer com o cadastro incorreto dos seus dados pessoais

04/06/2021 Deixe um comentário

Como tudo começou

Tudo começou quando recebi um SMS despretensioso, na manhã de hoje. Até pensei que seria um golpe. O que deve ter acontecido é que alguém cadastrou o meu número de telefone no nome de outra pessoa.

A mensagem é curta e clara, mas dá para começar a ter acesso a alguns dados importantes:

  1. Primeiro nome da pessoa;
  2. Nome da instituição financeira.

Até aí, tudo bem. Não dá para fazer nada com esses dois dados, não é? Curioso que sou, resolvi acessar o link e ver do que se tratava.

Aqui eu já fiquei mais tranquilo, pois não era um golpe e nada para instalar vírus no meu lindo computador. É um site onde o cidadão pode acessar e negociar suas dívidas. O problema é que esse link me trouxe mais dados relevantes:

  1. O sobrenome da pessoa (ocultado);
  2. “Parte” do seu CPF (ocultado).

A partir desse ponto a coisa já começa a ficar mais interessante. Porque o site pressupõe que, ocultando os dois primeiros dígitos de um CPF, passa a sensação de segurança. E isso não é verdade!

Até porque, ocultar os dois primeiros dígitos é uma forma de garantir que somente o cidadão que possui aquele CPF, poderá ter acesso aos dados, não é?

Existem, na Internet, alguns algoritmos para validação de CPF (exemplos de algoritmos podem ser vistos aqui e aqui).

Sabendo desses algoritmos, criei uma pequena ferramenta que testa algumas combinações de valores e me retorna uma lista com possíveis CPFs válidos.

$ sh cpf.sh xx9.081.xxx-xx
Input: xx9.081.xxx-xx
Output (soluções possíveis):
    069.081.xxx-xx
    259.081.xxx-xx

Voltando para o site e testando os valores gerados, consegui acessá-lo. A parte boa é que eu tinha três chances para informar o CPF, antes de bloquearem meu acesso. Graças à minha ferramenta, consegui, logo de primeira:

Ou seja: com um simples envio errado de uma mensagem SMS, consegui obter várias informações a respeito do cidadão.

Resumo do ocorrido

  1. Mandaram-me um SMS sobre coisas que eu nem sabia;
  2. Acessei o site e vi coisas interessantes;
  3. Criei uma ferramenta para me auxiliar no acesso ao site com um CPF válido;
  4. Obtive dados sensíveis de uma pessoa que nem conheço, tudo isso porque cadastraram um número de telefone de forma incorreta.

Solução para o problema

Talvez uma solução (rápida) para o site, seria ocultar, além dos dois primeiros dígitos do CPF, os dígitos verificadores (os dois últimos).

Considerações finais

A Lei Geral de Proteção de Dados (LGPD) é uma grande aliada nesses casos. Sabendo que seus dados estão sendo utilizados de forma incorreta ou que não estão devidamente seguros, você pode exigir seus direitos. Você é o titular dos seus dados!

Mostre essa postagem para aquela pessoa que acha que roubo de dados é coisa de filme americano, pois é exatamente assim que os golpistas agem!

Agora você tomará mais cuidado com os seus dados pessoais, não é?

😄

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *