223 miljoonaa brasilialaista väitetyn Serasa Experianin tietomurron kohteena

Väitetty tietomurto saattaa koskettaa jokaista brasilialaista

Uhkatoimija on väittänyt varastaneensa 1,8 teratavua tietoa Serasa Experianilta, globaalin luottoriskiyhtiö Experianin brasilialaiselta tytäryhtiöltä. Väitetty tietoaineisto kattaa 223 miljoonaa henkilöä, mikä käytännössä vastaa koko Brasilian väestöä, mukaan lukien vainajat, joiden tiedot ovat edelleen rahoitustietokannoissa.

Väitteen mukaan varastetut tiedot sisältävät täydelliset nimet, syntymäajat, sähköpostiosoitteet ja CPF-numerot. CPF eli Cadastro de Pessoas Físicas on Brasilian kansallinen veronmaksajatunnus, joka toimii samankaltaisesti kuin sosiaaliturvatunnus Yhdysvalloissa. Sitä käytetään pankkipalveluihin pääsyyn, verojen ilmoittamiseen, henkilöllisyyden vahvistamiseen sekä lukemattomiin jokapäiväisiin tapahtumiin. Jos tietomurto vahvistetaan väitetyssä laajuudessaan, se olisi yksi suurimmista yksittäisen maan tietopaljastuksista, mitä on koskaan kirjattu.

Serasa Experian on yksi Brasilian merkittävimmistä luottotietotoimistoista, jolla on hallussaan talous- ja henkilötietoja käytännössä jokaisesta maan täysi-ikäisestä. Yhtiö ei ollut julkisesti vahvistanut tietomurtoa raportoinnin ajankohtana.

Mitä tietoja väitetysti varastettiin ja miksi se on merkittävää

Tässä väitetyssä tietomurrossa yhdistyneet tietotyypit ovat erityisen huolestuttavia. CPF-numeroita ei voida, toisin kuin salasanoja, vaihtaa. Kun ne ovat kerran paljastuneet, kansallisesta tunnusnumerosta tulee pysyvä riski. Yhdistettynä täydelliseen nimeen, syntymäaikaan ja sähköpostiosoitteeseen se antaa pahantahtoisille toimijoille lähes täydellisen profiilin identiteettivarkauden toteuttamiseen, petollisten luottotilien avaamiseen, väärennettien veroilmoitusten tekemiseen tai henkilöllisyyden varmennejärjestelmien ohittamiseen.

Brasilia on aiemminkin kohdannut merkittäviä tietoturvaloukkauksia. Vuonna 2021 erillinen tietomurto paljasti CPF-tiedot ja henkilötiedot sadoille miljoonille brasilialaisille, mikä herätti laajaa huolta arkaluonteisia kansallisia tietoja hallussaan pitävien yritysten tietoturvakäytännöistä. Saman perustavanlaatuisen henkilötiedon toinen laajamittainen paljastuminen kasvattaa tätä riskiä huomattavasti. Henkilöt, jotka ovat jo ryhtyneet suojatoimiin aiempien tapausten jälkeen, saattavat huomata ponnistelujensa valuneen hukkaan, jos tämä uusi tietoaineisto leviää laajasti.

Tämänkaltaisia tietoja myydään tyypillisesti maanalaisilla foorumeilla, käytetään suoraan petoksiin tai yhdistetään muihin vuodettuihin tietoaineistoihin yhä yksityiskohtaisempien henkilöprofiilien rakentamiseksi. Tässä väitetty tietojen kokonaisvolyymi, 1,8 TB, viittaa siihen, ettei kyse ole pienestä tai kohdennetusta varkaudesta.

Kuinka tämänkaltaiset tietomurrot mahdollistavat laajemmat yksityisyysuhkat

Yleinen harhaluulo on, että tietomurto vahingoittaa ainoastaan petoksen suoranaisiksi kohteiksi joutuvia henkilöitä. Todellisuudessa tämänkaltaiset laajamittaiset vuodot aiheuttavat aaltoiluvaikutuksia, jotka ulottuvat kaikkialle jokapäiväiseen digitaaliseen elämään.

Kun henkilökohtaiset tunnisteet kuten CPF-numerot ja sähköpostiosoitteet ovat julkisesti saatavilla, mainostajat, datanvälittäjät ja haitalliset toimijat voivat yhdistää nämä tiedot muuhun verkkokäyttäytymiseen. Selailutottumuksesi, sovelluskäyttösi, sijaintitietosi ja ostoshistoriasi voidaan yhdistää todelliseen henkilöllisyyteesi paljon helpommin, kun perustavanlaatuinen tunniste on paljastunut. Tätä kutsutaan joskus uudelleentunnistamiseksi, ja se nakertaa käytännön anonymiteettiä, jonka monet olettavat omaavansa verkossa.

Kohdennetun petoksen lisäksi paljastunut tieto ruokkii tietojenkalastelukampanjoita. Kun huijarilla on hallussaan uhrin nimi, sähköposti ja CPF-numero, hän voi muotoilla vakuuttavia viestejä, jotka näyttävät tulevan pankilta, viranomaiselta tai palveluntarjoajalta. Nämä hyökkäykset ovat vaikeammin havaittavissa juuri siksi, että niissä käytetään todellista, paikkansapitävää tietoa.

Mitä tämä tarkoittaa sinulle

Jos olet Brasiliassa tai sinulla on yhteyksiä brasilialaisiin talous- tai hallintojärjestelmiin, sinun tulisi olettaa, että CPF-numerosi ja siihen liittyvät henkilötietosi saattavat jo olla liikkeellä, riippumatta tästä yksittäisestä tietomurrosta. Se ei ole syy paniikkiin, mutta se on syy tarkastella digitaalisia tottumuksiasi huolellisesti.

Tässä konkreettisia toimenpiteitä, jotka kannattaa toteuttaa:

• Seuraa CPF-numerosi käyttöä. Brasilian Receita Federal ja useat rahoitusalustat mahdollistavat luvattoman CPF-käytön tarkistamisen. Tee tästä säännöllinen tapa.
• Ota hälytykset käyttöön pankkitileillä. Aseta reaaliaikaiset tapahtumailmoitukset kaikille CPF-numeroosi tai pankkiidentiteettiisi liitetyille tileille.
• Suhtaudu epäileväisesti saapuviin yhteydenottoihin. Kohtele kaikkia sähköposteja, tekstiviestejä tai puheluita, joissa pyydetään vahvistamaan henkilökohtaisia tietoja, suurella epäluulolla, vaikka lähettäjä vaikuttaisi tuntevan tietosi.
• Käytä yksilöllisiä, vahvoja salasanoja ja kaksivaiheista todennusta. Paljastuneita sähköpostiosoitteita käytetään usein tunnistetietojen täyttöhyökkäyksissä muita palveluita vastaan.
• Harkitse, kuinka paljon selailustasi ja digitaalisesta toiminnastasi on sidottu todelliseen henkilöllisyyteesi. Seurantaa rajoittavista ja kolmansille osapuolille saatavilla olevia tietoja vähentävistä työkaluista tulee entistä arvokkaampia, ei vähemmän, kun ydinhenkilöllisyystietosi ovat paljastuneet.

Serasa Experianin tietomurtoväite muistuttaa siitä, että yksittäisen tietopaljastuksen riski harvoin pysyy rajoittuneena yhteen hetkeen tai yhteen petostyyppiin. Perustavanlaatuinen henkilöllisyystieto kiertää vuosia sen jälkeen, kun se on kerran vuodettu. Kerrostetut yksityisyystottumukset, jotka yhdistävät tilien seurannan, epäluuloisen suhtautumisen saapuviin viesteihin ja digitaalisen jalanjäljen pienentämisen, tarjoavat käytännöllisimmän puolustuksen silloin, kun tietoja itsessään ei voida enää ottaa takaisin.