223 milijuna Brazilaca pogođeno navodnom povredom podataka tvrtke Serasa Experian

Navodna Povreda Podataka Mogla bi Zahvatiti Svaku Osobu u Brazilu

Jedan prijetitelj preuzeo je odgovornost za krađu 1,8 terabajta podataka od tvrtke Serasa Experian, brazilskog ogranka globalne tvrtke za kreditni rizik Experian. Navodni skup podataka obuhvaća 223 milijuna pojedinaca, što praktički predstavlja cjelokupno stanovništvo Brazila, uključujući preminule osobe čiji se podaci i dalje čuvaju u financijskim bazama podataka.

Prema navodima, ukradene informacije uključuju puna imena, datume rođenja, adrese e-pošte i CPF brojeve. CPF, ili Cadastro de Pessoas Físicas, brazilski je nacionalni porezni identifikacijski broj koji funkcionira slično kao broj socijalnog osiguranja u Sjedinjenim Američkim Državama. Koristi se za pristup bankarskim uslugama, podnošenje poreznih prijava, provjeru identiteta i bezbroj svakodnevnih transakcija. Ako se povreda potvrdi u navedenim razmjerima, predstavljala bi jedno od najvećih izlaganja podataka za jednu zemlju ikad zabilježenih.

Serasa Experian jedan je od najistaknutijih kreditnih biroa u Brazilu, koji čuva financijske i osobne podatke o gotovo svakom odraslom stanovniku zemlje. Tvrtka nije javno potvrdila povredu podataka u trenutku objave ovog izvješća.

Koji su Podaci Navodno Ukradeni i Zašto Je To Važno

Kombinacija vrsta podataka u ovoj navodnoj povredi posebno je zabrinjavajuća. CPF brojevi, za razliku od lozinki, ne mogu se poništiti. Jednom kad su izloženi, nacionalni identifikacijski broj postaje trajno opterećenje. U kombinaciji s punim imenom, datumom rođenja i adresom e-pošte, loši akteri dobivaju gotovo potpun profil za počinjenje krađe identiteta, otvaranje lažnih kreditnih računa, podnošenje lažnih poreznih prijava ili zaobilaženje sustava provjere identiteta.

Brazil je i ranije bio izložen značajnim incidentima s podacima. Godine 2021. zasebna povreda otkrila je CPF i osobne podatke stotina milijuna Brazilaca, potičući široku zabrinutost zbog sigurnosnih praksi tvrtki kojima su povjereni osjetljivi nacionalni podaci. Drugo veliko izlaganje iste temeljne identifikacijske dokumentacije dramatično uvećava taj rizik. Osobe koje su već poduzele korake kako bi se zaštitile nakon ranijih incidenata mogu otkriti da su ti napori potkopani ako se ovaj novi skup podataka široko distribuira.

Podaci ove prirode obično se prodaju na podzemnim forumima, izravno koriste za prijevare ili kombiniraju s drugim procurjelim skupovima podataka kako bi se izgradili sve detaljniji profili pojedinaca. Sama količina podataka navedena u ovom slučaju — 1,8 TB — sugerira da se ne radi o maloj ili ciljanoj krađi.

Kako Ovakve Povrede Podataka Omogućuju Šire Prijetnje Privatnosti

Česta zabluda je da povreda podataka šteti samo osobama koje su izravno na meti prijevare. U stvarnosti, curenja podataka velikih razmjera poput ovog stvaraju efekte koji se šire u svakodnevni digitalni život.

Kad osobni identifikatori poput CPF brojeva i adresa e-pošte postanu javno dostupni, oglašivači, posrednici s podacima i zlonamjerni akteri mogu te informacije povezati s drugim online ponašanjem. Vaše navike pretraživanja, korištenje aplikacija, podaci o lokaciji i povijest kupovine mogu se puno lakše povezati s vašim pravim identitetom kada je temeljni identifikator bio izložen. To se ponekad naziva re-identifikacijom i narušava praktičnu anonimnost za koju mnogi pretpostavljaju da je imaju na internetu.

Osim ciljanih prijevara, izloženi podaci potiču phishing kampanje. S imenom, e-poštom i CPF brojem žrtve u rukama, prevarant može sastaviti uvjerljive poruke koje izgledaju kao da dolaze od banke, vladine agencije ili komunalnog poduzeća. Ove napade teže je otkriti upravo zato što koriste stvarne, točne informacije.

Što To Znači za Vas

Ako živite u Brazilu ili imate veze s brazilskim financijskim ili državnim sustavima, trebali biste pretpostaviti da vaš CPF broj i povezani osobni podaci možda već cirkuliraju, bez obzira na ovu konkretnu povredu. To nije razlog za paniku, ali jest razlog da pažljivo preispitate svoje digitalne navike.

Evo konkretnih koraka koje vrijedi poduzeti:

• Pratite aktivnost svog CPF-a. Brazilska Receita Federal i nekoliko financijskih platformi omogućuju vam provjeru neovlaštenog korištenja vašeg CPF-a. Neka vam to postane redovita navika.
• Omogućite obavijesti na financijskim računima. Postavite obavijesti o transakcijama u stvarnom vremenu na svakom računu povezanom s vašim CPF-om ili bankarskim identitetom.
• Budite skeptični prema dolaznim kontaktima. Svaki e-mail, SMS ili telefonski poziv kojim se traži provjera osobnih podataka tretirajte s iznimnom sumnjom, čak i ako se čini da pošiljatelj zna vaše informacije.
• Koristite jedinstvene, snažne lozinke i dvofaktornu autentifikaciju. Izložene adrese e-pošte često se koriste u napadima punjenja vjerodajnicama na druge usluge.
• Razmislite koliko je vaše pregledavanje i digitalna aktivnost vezana uz vaš pravi identitet. Alati koji ograničavaju praćenje i smanjuju količinu podataka dostupnih trećim stranama postaju sve vrjedniji, a ne manje, kada su vaši temeljni identifikatori bili izloženi.

Navodi o povredi podataka tvrtke Serasa Experian podsjetnik su da rizik od jednog izlaganja podataka rijetko ostaje ograničen na jedan trenutak ili jednu vrstu prijevare. Temeljna identifikacijska dokumentacija, jednom kad izađe, cirkulira godinama. Slojevite navike privatnosti — kombinacija praćenja računa, skepticizma prema dolaznim komunikacijama i smanjenja digitalnog otiska — nude najpraktičniju dostupnu obranu kada se sami podaci ne mogu povući natrag.