223 milionů Brazilců zasaženo údajným únikem dat ze Serasa Experian

Údajný únik dat by mohl postihnout každého obyvatele Brazílie

Aktér hrozby se přihlásil k odpovědnosti za krádež 1,8 terabajtu dat ze Serasa Experian, brazilské pobočky globální společnosti pro hodnocení úvěrového rizika Experian. Údajný soubor dat zahrnuje 223 milionů osob – číslo, které fakticky představuje celou populaci Brazílie, včetně zemřelých osob, jejichž záznamy jsou stále uchovávány ve finančních databázích.

Podle tohoto tvrzení zahrnují odcizené informace celá jména, data narození, e-mailové adresy a čísla CPF. CPF neboli Cadastro de Pessoas Físicas je brazilské národní identifikační číslo daňového poplatníka a funguje podobně jako číslo sociálního pojištění ve Spojených státech. Slouží k přístupu k bankovním službám, podávání daňových přiznání, ověřování totožnosti a k nesčetným každodenním transakcím. Pokud by byl únik potvrzen v deklarovaném rozsahu, představoval by jeden z největších úniků dat z jediné země, jaký byl kdy zaznamenán.

Serasa Experian je jednou z nejvýznamnějších brazilských úvěrových agentur, která uchovává finanční a osobní záznamy prakticky každého dospělého v zemi. Společnost v době zveřejnění tohoto článku únik dat veřejně nepotvrdila.

Jaká data měla být odcizena a proč na tom záleží

Kombinace typů dat v tomto údajném úniku je obzvláště znepokojivá. Čísla CPF na rozdíl od hesel nelze resetovat. Jakmile je národní identifikační číslo prozrazeno, stává se trvalou zátěží. V kombinaci s celým jménem, datem narození a e-mailovou adresou poskytuje kyberzločincům téměř úplný profil pro páchání krádeže identity, zakládání podvodných úvěrových účtů, podávání falešných daňových přiznání nebo obcházení systémů ověřování totožnosti.

Brazílie v minulosti již zaznamenala závažné úniky dat. V roce 2021 odhalil samostatný únik čísla CPF a osobní údaje stovek milionů Brazilců, což vyvolalo rozsáhlé obavy ohledně bezpečnostních postupů společností, jimž jsou svěřeny citlivé národní záznamy. Druhé rozsáhlé prozrazení stejných základních identifikačních dat toto riziko dramaticky násobí. Lidé, kteří již podnikli kroky k ochraně svých dat po dřívějších incidentech, mohou zjistit, že toto jejich úsilí bylo zmařeno, pokud bude nový soubor dat široce šířen.

Data tohoto charakteru jsou typicky prodávána na podzemních fórech, přímo využívána k podvodům nebo kombinována s jinými uniklými soubory dat k vytváření stále podrobnějších profilů jednotlivců. Samotný objem zde deklarovaných záznamů – 1,8 TB – naznačuje, že se nejedná o malou nebo cílenou krádež.

Jak úniky tohoto typu umožňují širší ohrožení soukromí

Rozšířeným omylem je, že únik dat poškozuje pouze osoby přímo cílené podvodem. Ve skutečnosti vytvářejí rozsáhlé úniky, jako je tento, vlnový efekt, který zasahuje do každodenního digitálního života.

Pokud jsou osobní identifikátory, jako jsou čísla CPF a e-mailové adresy, veřejně dostupné, mohou inzerenti, zprostředkovatelé dat a škodliví aktéři korelovat tyto informace s jiným online chováním. Vaše zvyky při prohlížení webu, používání aplikací, údaje o poloze a historii nákupů lze daleko snadněji propojit s vaší skutečnou identitou, pokud byl základní identifikátor prozrazen. Tento jev se někdy nazývá re-identifikace a narušuje praktickou anonymitu, kterou mnozí lidé online předpokládají.

Kromě cíleného podvodu živí prozrazená data phishingové kampaně. S jménem oběti, e-mailem a číslem CPF po ruce může podvodník sestavit přesvědčivé zprávy, které se zdají pocházet od banky, vládní agentury nebo poskytovatele energií. Tyto útoky je tím těžší odhalit, právě proto, že využívají skutečné a přesné informace.

Co to znamená pro vás

Pokud se nacházíte v Brazílii nebo máte vazby na brazilské finanční nebo vládní systémy, měli byste předpokládat, že vaše číslo CPF a přidružené osobní údaje již mohou být v oběhu, bez ohledu na tento konkrétní únik. To není důvod k panice, ale je to důvod pečlivě přezkoumat své digitální návyky.

Zde jsou konkrétní kroky, které stojí za zvážení:

• Sledujte aktivitu svého CPF. Brazilská Receita Federal a několik finančních platforem vám umožňuje zkontrolovat neoprávněné použití vašeho čísla CPF. Udělejte z toho pravidelný zvyk.
• Aktivujte upozornění na finančních účtech. Nastavte si oznámení o transakcích v reálném čase na každém účtu propojeném s vaším CPF nebo bankovní identitou.
• Buďte skeptičtí vůči příchozím kontaktům. Jakýkoli e-mail, SMS nebo telefonní hovor žádající o ověření osobních údajů považujte za vysoce podezřelý, i když se zdá, že odesílatel vaše informace zná.
• Používejte jedinečná silná hesla a dvoufaktorové ověřování. Prozrazené e-mailové adresy jsou často využívány při útocích credential stuffing na jiné služby.
• Zamyslete se nad tím, jak velká část vašeho prohlížení webu a digitální aktivity je spojena s vaší skutečnou identitou. Nástroje omezující sledování a snižující množství dat dostupných třetím stranám jsou tím cennější, nikoli méně, pokud byly vaše základní identifikátory prozrazeny.

Tvrzení o úniku dat ze Serasa Experian je připomínkou, že riziko plynoucí z jediného úniku dat jen zřídkakdy zůstane omezeno na jeden okamžik nebo jeden typ podvodu. Základní identifikační data, jakmile uniknou, kolují po léta. Vícevrstvé návyky v oblasti ochrany soukromí – kombinace monitorování účtů, skepse vůči příchozím komunikacím a omezování digitální stopy – nabízejí nejpraktičtější dostupnou obranu v situaci, kdy nelze samotná data vzít zpět.