223 مليون برازيلي يتأثرون باختراق مزعوم لشركة Serasa Experian

الاختراق المزعوم قد يطال كل شخص في البرازيل

ادّعى أحد المهاجمين الإلكترونيين مسؤوليته عن سرقة 1.8 تيرابايت من البيانات من شركة Serasa Experian، الفرع البرازيلي لشركة Experian العالمية لإدارة مخاطر الائتمان. ويشمل مجموعة البيانات المزعومة 223 مليون شخص، وهو رقم يعكس فعلياً إجمالي عدد سكان البرازيل، بمن فيهم المتوفون الذين لا تزال سجلاتهم محفوظة في قواعد البيانات المالية.

وبحسب ما ادُّعي، تشمل المعلومات المسروقة الأسماء الكاملة، وتواريخ الميلاد، وعناوين البريد الإلكتروني، وأرقام CPF. ويُعدّ رقم CPF، أو Cadastro de Pessoas Físicas، رقم التعريف الضريبي الوطني في البرازيل، ويؤدي وظيفة مماثلة لرقم الضمان الاجتماعي في الولايات المتحدة، إذ يُستخدم للوصول إلى الخدمات المصرفية وتقديم الإقرارات الضريبية والتحقق من الهوية وإجراء عدد لا يُحصى من المعاملات اليومية. وإن تأكّد الاختراق بالحجم المدّعى، فسيُمثّل ذلك واحدة من أكبر حوادث كشف البيانات على مستوى دولة واحدة في التاريخ المسجّل.

وتُعدّ Serasa Experian من أبرز مكاتب الائتمان في البرازيل، إذ تحتفظ بسجلات مالية وشخصية تخص كل بالغ تقريباً في البلاد. ولم تؤكد الشركة الاختراق علناً حتى وقت نشر هذا التقرير.

ما البيانات التي يُزعم أنها سُرقت ولماذا يُعدّ ذلك خطيراً؟

إن التوليفة بين أنواع البيانات في هذا الاختراق المزعوم تُثير قلقاً بالغاً بشكل خاص. فأرقام CPF، خلافاً لكلمات المرور، لا يمكن إعادة تعيينها. وبمجرد كشفها، يغدو رقم الهوية الوطنية عبئاً دائماً. فحين يُقرن رقم CPF باسم كامل وتاريخ ميلاد وعنوان بريد إلكتروني، يُتيح ذلك للمهاجمين ملفاً شبه كامل لارتكاب عمليات احتيال في الهوية، وفتح حسابات ائتمانية احتيالية، وتقديم إقرارات ضريبية مزورة، أو تجاوز أنظمة التحقق من الهوية.

وقد شهدت البرازيل حوادث بيانات كبرى من قبل. ففي عام 2021، كشف اختراق منفصل عن بيانات CPF والمعلومات الشخصية لمئات الملايين من البرازيليين، مما أثار قلقاً واسعاً بشأن ممارسات الأمن المعتمدة لدى الشركات المؤتمنة على السجلات الوطنية الحساسة. وإن تكرّر كشف هذه البيانات الهوياتية الجوهرية ذاتها على نطاق واسع، فسيُضاعف ذلك الخطر تضعيفاً هائلاً. وقد يجد الأشخاص الذين اتخذوا خطوات لحماية أنفسهم إثر الحوادث السابقة أن جهودهم تلك تتآكل إذا ما انتشرت مجموعة البيانات الجديدة هذه على نطاق واسع.

وتُباع البيانات من هذا النوع عادةً في المنتديات السرية، أو تُستخدم مباشرةً لارتكاب الاحتيال، أو تُدمج مع مجموعات بيانات مسرّبة أخرى لبناء ملفات شخصية متزايدة التفصيل عن الأفراد. ويُشير حجم السجلات المدّعى هنا، وهو 1.8 تيرابايت، إلى أن هذه ليست سرقة صغيرة أو موجّهة.

كيف تُمكّن مثل هذه الاختراقات من تهديدات أشمل للخصوصية؟

يُعدّ من المفاهيم الخاطئة الشائعة أن خرق البيانات لا يضرّ إلا الأشخاص المستهدفين مباشرةً بعمليات الاحتيال. والحقيقة أن التسريبات الواسعة النطاق كهذه تُحدث تداعيات تمتد إلى الحياة الرقمية اليومية.

فحين تصبح المُعرِّفات الشخصية كأرقام CPF وعناوين البريد الإلكتروني متاحةً للعموم، يمكن للمُعلنين وسماسرة البيانات والجهات الخبيثة ربط تلك المعلومات بسلوكيات أخرى على الإنترنت. إذ يمكن ربط عادات التصفح واستخدام التطبيقات وبيانات الموقع الجغرافي وسجل المشتريات بهويتك الحقيقية بسهولة أكبر بكثير متى كُشف عن مُعرِّف هوياتي جوهري. ويُعرف هذا أحياناً بـ"إعادة التعريف"، وهو ما يُقوّض الإخفاء العملي الذي يفترض كثير من الناس تمتعهم به على الإنترنت.

وفضلاً عن الاحتيال الموجّه، تُغذّي البيانات المكشوفة حملات التصيد الاحتيالي. فبحوزة اسم الضحية وبريدها الإلكتروني ورقم CPF الخاص بها، يستطيع المحتال صياغة رسائل مقنعة تبدو صادرة عن بنك أو جهة حكومية أو مزوّد خدمات. وتكون هذه الهجمات أصعب اكتشافاً تحديداً لأنها تستخدم معلومات حقيقية ودقيقة.

ما الذي يعنيه هذا بالنسبة لك؟

إن كنت تقيم في البرازيل أو تربطك صلات بالأنظمة المالية أو الحكومية البرازيلية، فعليك أن تفترض أن رقم CPF الخاص بك والبيانات الشخصية المرتبطة به ربما تكون متداولة بالفعل، بصرف النظر عن هذا الاختراق تحديداً. وهذا ليس دعوةً للذعر، لكنه دعوة للتمحيص الجدي في عاداتك الرقمية.

فيما يلي خطوات عملية تستحق الاتباع:

• راقب نشاط رقم CPF الخاص بك. تتيح هيئة الإيرادات الفيدرالية البرازيلية (Receita Federal) وعدة منصات مالية إمكانية التحقق من أي استخدام غير مصرّح به لرقم CPF الخاص بك. اجعل ذلك عادةً منتظمة.
• فعّل التنبيهات على حساباتك المالية. اضبط إشعارات المعاملات الفورية على كل حساب مرتبط برقم CPF الخاص بك أو هويتك المصرفية.
• كن متشككاً إزاء أي تواصل وارد. تعامل مع أي بريد إلكتروني أو رسالة نصية أو مكالمة هاتفية تطلب منك التحقق من بياناتك الشخصية بريبة شديدة، حتى لو بدا المرسل على دراية بمعلوماتك.
• استخدم كلمات مرور فريدة وقوية والمصادقة الثنائية. كثيراً ما تُستخدم عناوين البريد الإلكتروني المكشوفة في هجمات حشو بيانات الاعتماد ضد خدمات أخرى.
• تأمّل في مدى ارتباط تصفحك ونشاطك الرقمي بهويتك الحقيقية. تزداد قيمة الأدوات التي تُحدّ من التتبع وتقلّص البيانات المتاحة لأطراف ثالثة، لا تنقص، حين تكون مُعرِّفاتك الجوهرية قد كُشفت.

يُذكّرنا الاختراق المزعوم لشركة Serasa Experian بأن الخطر الناجم عن كشف البيانات لا يبقى حبيس لحظة واحدة أو نوع واحد من الاحتيال في الغالب. فبيانات الهوية الجوهرية، حالما تُكشف، تظل متداولة لسنوات. وتُقدّم العادات الدفاعية المتعددة الطبقات، التي تجمع بين مراقبة الحسابات والتشكيك في الاتصالات الواردة وتقليص بصمتك الرقمية، أكثر الوسائل الدفاعية العملية المتاحة حين يتعذّر استرداد البيانات ذاتها.