Denúncia – Vazamento de Dados – RobinHood

Nosso sistema de Monitoramento Avançado Persistente detectou, em 20/02/19, grave denúncia realizada pelo hacktivista RobinHood (bicho do Paraná). A publicação no site de compartilhamento de texto Pastebin revela o que parece ser um conluio nefasto em que empresas privadas (Holding Jeaholding, Assert) comercializam dados pessoais (incluindo financeiros) da população brasileira. O vazamento seria de mais de 270GB de dados.

Essas empresas operam com dados da população brasileira e dados sigilosos (incluindo financeiros) e não possuem nenhuma preocupação com a
segurança. Esse grupo de empresas faz parte da Holding Jeaholding (jeaholding.com.br) e atuam desde 2007.

Além das informações das centenas de milhares de clientes serem facilmente obtidas, eles vendem essas informações
privadas por uma nova empresa do grupo (Assert Tecnologia + Stormtech).

Leak – RobinHood

O arranjo incluiria empresas subsidiárias responsáveis pela comercialização dos dados e a falsificação de negócios jurídicos com empresas para legitimar a origem dos dados. Essas ações foram tomadas como forma de proteção da empresa, formuladas com a consultoria especializada de renomados escritórios de advocacia brasileiros (os quais seria especialistas em “proteção” de dados pessoais).

Além dos dados de pessoas físicas, eles possuem informações de todas as empresas do Brasil.
De alguma forma eles possuem os dados de INSS de toda a população e eles vendem essa informação através dos sites (http://consulta.plus/ e http://app.asserttecnologia.com.br/) como pode ser visto nos videos abaixo:

– https://cdn-02.anonfile.com/V57evdu4bc/1025d147-1550529499/01+-+Iniciando+Buscas+INSS.mp4
– https://drive.google.com/drive/folders/1lcTGy9Xs2B2ESQgn_xN4vhQJSOW-cGL8

As empresas citadas por RobinHood incluem:

  • www.passepag.com.br (Máquina de cartão)
  • fontesseguros.com.br (Seguradora)
  • www.deucredito.com.br (Financeira)
  • fontespromotora.com.br (Venda de crédito junto a financeiras)
  • www.dinamopromotora.com.br
  • simcash.net
  • fontesassessoriafinanceira.com.br
  • www.medeirosmann.adv.br (Escritório de Advocacia)
  • retentiva.com.br (Contact Center)
  • asserttecnologia.com.br (Big Data for Business)

Em meio a essas chocantes revelações, a publicação indica o livre acesso a dados do que seriam cidadãos beneficiários do INSS por uma aplicação web:

Os dados de INSS estão expostos nessa URL para quem quiser baixar:

http://ws.consulta.plus/v3/inss/cadastro/[NUMERO_CPF]?apiKey=XXXXXX

Consulta – Leak – RobinHood

Aspecto que torna o vazamento mais contundente e suas revelações mais importantes são a alegada troca de e-mails que indica a ciência dos envolvidos em ações não autorizadas pela legislação brasileira:

Através de uma rápida análise nos emails interno da empresa, constata-se que eles tem total ciência que não poderiam vender
esses dados, inclusive fazendo a empresa de advocacia deles trabalhar numa garantia jurídica, envolvendo mentiras como contratos fakes entre empresas do grupo e de que essas informações são obtidas da navegação dos usuários nos sites e parceria com as outras empresas do grupo.

Email – Leak – RobinHood

Detalhe mais infame do vazamento é a própria afirmação que um dos executivos das empresas citadas faz:

Precisamos montar um plano de ação urgente pois estão saindo muitas reporgtagens sobre o assunto e estou começando a ficar com medo.

Ao final do leak é possível observar a presença de seis links que contém dados brutos das revelações realizadas por RobinHood.

Link – Leak – RobinHood

A nova legislação de proteção de dados pessoais – Lei Geral de Proteção de Dados Pessoais (LGDP) – parece ter vindo em hora mais do que necessária para combater o abuso no tratamento de dados pessoais da população brasileira.