Zagraniczne media informują, że 20 stycznia br. odkryto największy dotychczas wyciek danych osobowych w historii Brazylii. W tym południowoamerykańskim państwie nie jest prowadzony żaden oficjalny rejestr wycieków danych osobowych. Niemniej – w ocenie mediów – nie ma wątpliwości, że ostatnio odkryte zdarzenie powinno zostać zakwalifikowane jako największe w historii. Warto zauważyć, że w Brazylii – podobnie jak w większości mniej zamożnych państw – tworzone są obszerne bazy danych osobowych. Niestety w większości przypadków niewiele poświęca się kwestiom cyberbezpieczeństwa i ochrony danych osobowych. Aktualnie, nie ustalono jeszcze, kto ponosi odpowiedzialność za wykryty wyciek.
Dane 223 000 000 Brazylijczyków – największy wyciek danych
Według doniesień, wyciek został początkowo odkryty w tzw. Darknet (ciemna sieć) przez PSafe – start-up zajmujący się tematem cyberbezpieczeństwa, zaś następnie przez Tecnoblog – brazylijski portal internetowy (link do artykułu – https://tecnoblog.net/404838/exclusivo-vazamento-que-expos-220-milhoes-de-brasileiros-e-pior-do-que-se-pensava/).
Badacze odkryli, że w opublikowanych bazach danych znajdował się bardzo szeroki zakres danych osobowych. Były to m.in. nazwiska, indywidualne identyfikatory podatkowe, wizerunki twarzy, adresy zamieszkania, numery telefonów, adresy e-mail, wysokość zarobków, czy też – co może sugerować podmiot odpowiedzialny za to zdarzenie – informacje dotyczące oceny kredytowej. Co wyjątkowo szokuje, ten gigantyczny wyciek danych osobowych dotyczy aż 223 000 000 Brazylijczyków. Brzmi to dosyć groteskowo, biorąc pod uwagę, że populacja Brazylii wynosi około 210 000 000 obywateli. Tak wysoka liczba osób potencjalnie poszkodowanych wynikać ma jednak z tego, że część danych zgromadzonych w felernych bazach danych, dotyczy kilku milionów zmarłych osób. Do sieci trafić miało także około 104 000 000 rekordów zawierających informacje o pojazdach.
Dane dostępne częściowo bezpłatnie
Potencjalni nabywcy danych osobowych Brazylijczyków mieli do wyboru dwie opcje. Ściągnąć za pośrednictwem sieci Darknet okrojone zbiory danych osobowych, które oferowane były bezpłatnie albo zdecydować się na wersję pełną (14 gigabitów informacji), zawierającą dane osobowe niemal każdego Brazylijczyka.
Jak zauważają odkrywcy, darmowe bazy zawierały „tylko” imiona i nazwiska, indywidualne identyfikatory podatkowe, daty urodzenia oraz płac ponad 223 000 000 milionów osób. Co ciekawe, link do pobrania darmowego pakietu danych osobowych został nawet zaindeksowany przez wyszukiwarkę Google. Specjalistyczna wiedza dotycząca funkcjonowania sieci Darknet nie była więc potrzebna, aby go znaleźć i pobrać. Pełny pakiet danych osobowych o jednej osobie kosztować miał natomiast maksymalnie 1 dolara (około 4 złotych). Końcowa cena zależała od liczby pobranych rekordów. Dane sprzedawane były w pakietach zaczynających się od 500 dolarów (około 1850 złotych). Płatność realizowana była – jak to zwykle bywa w przypadku sieci Darknet – w Bitcoin’ach. Co ciekawe, nabywca mógł uzyskać zniżkę, w zależności od ilość zakupionych danych osobowych.
Nie wiadomo komu dane wyciekły
Oficjalnie nie wiadomo, komu wyciekły dane osobowe. Badacze podejrzewają jednak, że odpowiedzialność za wyciek danych może ponosić wiodące brazylijskie biuro oceny zdolności kredytowej – Serasa Experian (odpowiednik polskiego Biura Informacji Kredytowej). Spółka zaprzecza, jakoby dane mogły pochodzić z jej baz danych. Zakres informacji, które wyciekły do sieci Darknet, może jednak sugerować, że pochodzą one z podmiotu zajmującego się oceną zdolności kredytowej. Fakt, że dane osobowe są kategoryzowane w sposób, który pozwala na identyfikację określonych grup i segmentów potencjalnych konsumentów, bardzo przypomina sposób, w jaki Serasa Experian konstruuje swoją reklamę i kategoryzuje klientów. Na przykład jeden z dostępnych zbiorów danych osobowych nosi nazwę „Mozaika” i zawiera informacje zorganizowane zgodnie z tzw. modelem Mosaic, tj. usługą oferowaną przez podejrzewaną spółkę.
Organ nadzorczy działa od 2020 r.
Warto zauważyć, że organ nadzorczy zajmujący się ochroną danych osobowych w Brazylii (Autoridade Nacional de Proteção de Dados) został powołany do życia dopiero w sierpniu 2020 r. Ustawa o ochronie danych osobowych obowiązuje natomiast od września 2020 r. Z pewnością, nowopowstały regulator będzie odgrywać kluczową rolę w wyjaśnieniu odkrytego wycieku danych. Wydaje się jednak, że ze względu na małe doświadczenie i krótki staż, brazylijski organ nadzorczy może mieć duże trudności w szybkim rozwiązaniu tej sprawy.
Źródło:
https://www.opendemocracy.net/en/largest-personal-data-leakage-brazilian-history/
Treść brazylijskiej ustawy w zakresie ochrony danych osobowych:
https://cyberbrics.info/brazilian-general-data-protection-law-lgpd-unofficial-english-version/
