223 милиона бразилци засегнати от предполагаемо пробиване на Serasa Experian

Предполагаемото пробиване може да засегне всеки човек в Бразилия

Заплашващ актьор е поел отговорност за кражбата на 1,8 терабайта данни от Serasa Experian, бразилското дъщерно дружество на глобалната фирма за кредитен риск Experian. Предполагаемият набор от данни обхваща 223 милиона физически лица — цифра, която на практика представлява цялото население на Бразилия, включително починали лица, чиито записи все още се съхраняват във финансови бази данни.

Според твърдението, откраднатата информация включва пълни имена, дати на раждане, имейл адреси и CPF номера. CPF, или Cadastro de Pessoas Físicas, е националният данъчен идентификационен номер на Бразилия и функционира подобно на номера за социално осигуряване в Съединените щати. Използва се за достъп до банкови услуги, подаване на данъчни декларации, проверка на самоличността и извършване на безброй ежедневни транзакции. Ако пробивът бъде потвърден в мащаба, за който се твърди, това би представлявало едно от най-големите разкривания на данни за отделна държава, регистрирани някога.

Serasa Experian е едно от най-известните бюра за кредитна история в Бразилия, съхраняващо финансови и лични данни на практика за всеки пълнолетен гражданин в страната. Компанията не е публично потвърдила пробива към момента на публикуване на репортажа.

Какви данни са предположително откраднати и защо това е важно

Комбинацията от видове данни в това предполагаемо пробиване е особено тревожна. CPF номерата, за разлика от паролите, не могат да бъдат нулирани. Веднъж разкрит, националният идентификационен номер се превръща в постоянна уязвимост. В съчетание с пълно име, дата на раждане и имейл адрес, той предоставя на злонамерените лица почти пълен профил за извършване на измами с самоличност, откриване на измамни кредитни сметки, подаване на фалшиви данъчни декларации или заобикаляне на системи за проверка на самоличността.

Бразилия вече е преживявала значителни инциденти с данни. През 2021 г. отделно пробиване разкри CPF и лични данни на стотици милиони бразилци, предизвиквайки широко безпокойство относно практиките за сигурност на компаниите, на които са поверени чувствителни национални записи. Второто мащабно разкриване на същите основополагащи данни за самоличност драстично увеличава този риск. Хората, които вече са предприели мерки за защита след по-ранни инциденти, може да открият, че усилията им са подкопани, ако този нов набор от данни се разпространи широко.

Данни от такъв характер обикновено се продават в нелегални форуми, използват се пряко за измами или се комбинират с други изтекли набори от данни, за да се изградят все по-детайлни профили на физически лица. Огромният обем на заявените записи — 1,8 ТБ — подсказва, че това не е малка или целенасочена кражба.

Как подобни пробиви позволяват по-широки заплахи за поверителността

Широко разпространено погрешно схващане е, че пробивът на данни вреди само на хората, пряко насочени към измами. В действителност мащабни изтичания като това създават вълнообразни ефекти, които се простират в ежедневния дигитален живот.

Когато лични идентификатори като CPF номера и имейл адреси са публично достъпни, рекламодатели, брокери на данни и злонамерени лица могат да съпоставят тази информация с друго онлайн поведение. Вашите навици на сърфиране, използване на приложения, данни за местоположение и история на покупките могат да бъдат свързани с реалната ви самоличност много по-лесно, когато основополагащ идентификатор е бил разкрит. Това понякога се нарича повторна идентификация и то подкопава практическата анонимност, която много хора смятат, че имат онлайн.

Освен целенасочени измами, разкритите данни подхранват фишинг кампании. Разполагайки с името, имейла и CPF номера на жертвата, измамникът може да изработи убедителни съобщения, изглеждащи така, сякаш идват от банка, държавна агенция или доставчик на комунални услуги. Тези атаки са по-трудни за разкриване именно защото използват реална, точна информация.

Какво означава това за вас

Ако се намирате в Бразилия или имате връзки с бразилски финансови или държавни системи, трябва да приемете, че вашият CPF номер и свързаните с него лични данни вече може да са в обращение, независимо от конкретното пробиване. Това не е причина за паника, но е причина да погледнете внимателно на своите дигитални навици.

Ето конкретни стъпки, които си заслужава да предприемете:

• Следете активността на вашия CPF. Бразилската Receita Federal и няколко финансови платформи ви позволяват да проверявате за неоторизирано използване на вашия CPF. Превърнете това в редовен навик.
• Активирайте сигнали за финансови сметки. Настройте известия за транзакции в реално време за всяка сметка, свързана с вашия CPF или банкова самоличност.
• Бъдете скептични към входящи контакти. Третирайте всеки имейл, SMS или телефонно обаждане, изискващо да потвърдите лични данни, с голямо подозрение, дори ако изпращачът изглежда запознат с вашата информация.
• Използвайте уникални, силни пароли и двуфакторна автентикация. Разкритите имейл адреси се използват често в атаки за попълване на идентификационни данни срещу други услуги.
• Помислете колко от вашето сърфиране и дигитална активност е свързано с реалната ви самоличност. Инструментите, ограничаващи проследяването и намаляващи данните, достъпни за трети страни, стават все по-ценни, а не по-малко ценни, когато вашите основни идентификатори са разкрити.

Твърдението за пробиването на Serasa Experian е напомняне, че рискът от едно разкриване на данни рядко остава ограничен до един момент или един вид измама. Основополагащите данни за самоличност, веднъж изтекли, се разпространяват с години. Многопластовите навици за поверителност — съчетаващи наблюдение на сметките, скептицизъм към входящи комуникации и намаляване на цифровия ви отпечатък — предлагат най-практичната налична защита, когато самите данни не могат да бъдат върнати.