223 мільйони бразильців постраждали від імовірного витоку даних Serasa Experian

Імовірний витік може торкнутися кожного жителя Бразилії

Зловмисник заявив про відповідальність за викрадення 1,8 терабайта даних із Serasa Experian, бразильського підрозділу глобальної компанії з оцінки кредитних ризиків Experian. Імовірний масив даних охоплює 223 мільйони осіб — цифра, що фактично відповідає всьому населенню Бразилії, включно з померлими, чиї записи досі зберігаються у фінансових базах даних.

Згідно із заявою, викрадена інформація включає повні імена, дати народження, електронні адреси та номери CPF. CPF, або Cadastro de Pessoas Físicas, — це національний ідентифікаційний номер платника податків у Бразилії, який функціонує подібно до номера соціального страхування у США. Він використовується для доступу до банківських послуг, подання податкових декларацій, підтвердження особи та виконання незліченних повсякденних операцій. Якщо витік підтвердиться у заявленому масштабі, він стане одним із найбільших одиничних випадків розкриття даних в окремій країні за всю історію спостережень.

Serasa Experian є одним із найвпливовіших кредитних бюро Бразилії та зберігає фінансові й особисті дані практично кожного дорослого жителя країни. На момент публікації компанія офіційно не підтвердила факт витоку.

Які дані були імовірно викрадені та чому це важливо

Поєднання типів даних у цьому імовірному витоку викликає особливе занепокоєння. Номери CPF, на відміну від паролів, не можна скинути. Одного разу розкритий, національний ідентифікаційний номер стає постійним тягарем. У поєднанні з повним ім'ям, датою народження та електронною адресою він надає зловмисникам майже повний профіль для вчинення шахрайства з особистими даними, відкриття фіктивних кредитних рахунків, подання фальшивих податкових декларацій або обходу систем перевірки особи.

Бразилія вже стикалася зі значними інцидентами з витоком даних. У 2021 році окремий витік розкрив CPF та особисті дані сотень мільйонів бразильців, що викликало широке занепокоєння щодо практик безпеки компаній, яким довірено конфіденційні національні записи. Повторне масштабне розкриття тих самих базових ідентифікаційних даних різко посилює цей ризик. Люди, які вже вжили заходів для захисту після попередніх інцидентів, можуть виявити, що їхні зусилля зведені нанівець, якщо новий масив даних буде широко розповсюджений.

Дані такого характеру зазвичай продаються на підпільних форумах, використовуються безпосередньо для шахрайства або поєднуються з іншими викраденими масивами для створення дедалі детальніших профілів осіб. Сам лише обсяг заявлених записів — 1,8 ТБ — свідчить про те, що йдеться не про дрібну чи цільову крадіжку.

Як подібні витоки уможливлюють ширші загрози конфіденційності

Поширена помилкова думка полягає в тому, що витік даних шкодить лише тим, на кого безпосередньо спрямоване шахрайство. Насправді масштабні витоки, подібні до цього, створюють хвилеподібний ефект, що поширюється на повсякденне цифрове життя.

Коли особисті ідентифікатори, як-от номери CPF та електронні адреси, стають загальнодоступними, рекламодавці, брокери даних і зловмисники можуть зіставляти цю інформацію з іншою онлайн-поведінкою. Ваші звички перегляду вебсторінок, використання застосунків, дані про місцезнаходження та історія покупок можуть бути значно легше пов'язані з вашою реальною особою, коли базовий ідентифікатор був розкритий. Це іноді називають повторною ідентифікацією, і вона руйнує практичну анонімність, яку багато людей вважають само собою зрозумілою в мережі.

Окрім цільового шахрайства, розкриті дані живлять фішингові кампанії. Маючи в розпорядженні ім'я жертви, електронну адресу та CPF, шахрай може складати переконливі повідомлення, які видаються такими, що надходять від банку, державного органу або постачальника комунальних послуг. Такі атаки важче виявити саме тому, що в них використовується реальна, точна інформація.

Що це означає для вас

Якщо ви перебуваєте в Бразилії або маєте зв'язки з бразильськими фінансовими чи державними системами, слід виходити з припущення, що ваш номер CPF та пов'язані особисті дані вже можуть перебувати в обігу — незалежно від цього конкретного витоку. Це не привід для паніки, але привід уважно поглянути на свої цифрові звички.

Ось конкретні кроки, які варто зробити:

• Стежте за активністю вашого CPF. Receita Federal Бразилії та кілька фінансових платформ дозволяють перевірити несанкціоноване використання вашого CPF. Зробіть це регулярною звичкою.
• Увімкніть сповіщення на фінансових рахунках. Налаштуйте сповіщення про транзакції в реальному часі для кожного рахунку, пов'язаного з вашим CPF або банківською особою.
• Ставтеся скептично до вхідних повідомлень. Будь-який електронний лист, SMS або телефонний дзвінок із проханням підтвердити особисті дані сприймайте з великою підозрою — навіть якщо відправник, здається, знає вашу інформацію.
• Використовуйте унікальні надійні паролі та двофакторну автентифікацію. Розкриті електронні адреси часто використовуються в атаках із підбором облікових даних для інших сервісів.
• Подумайте, наскільки ваша активність у мережі та цифрове життя пов'язані з вашою реальною особою. Інструменти, що обмежують відстеження та зменшують обсяг даних, доступних третім сторонам, стають дедалі ціннішими, а не менш важливими, коли ваші основні ідентифікатори були розкриті.

Заява про витік даних Serasa Experian нагадує, що ризик від одного розкриття даних рідко обмежується одним моментом або одним видом шахрайства. Базові ідентифікаційні дані, потрапивши в обіг, циркулюють роками. Комплексні звички захисту конфіденційності — поєднання моніторингу рахунків, скептицизму щодо вхідних повідомлень і скорочення цифрового сліду — пропонують найбільш практичний захист у ситуації, коли самі дані вже неможливо повернути.