Uma busca inocente por “IDs” de idols do k-pop no Pinterest revelou um grave problema de segurança nas redes sociais. Documentos de identidades reais, incluindo RGs, CPFs, cartões do SUS e comprovantes de residência de brasileiros estão expostos publicamente na plataforma.
Um usuário do X, que fez a busca e a denúncia, relatou que até selfies de pessoas segurando documentos foram publicadas na plataforma de compartilhamento de fotos — o que permite a abertura de contas de laranjas em nome dessas pessoas, entre outros golpes.
Entre as vítimas estão crianças, idosos e pessoas de todas as idades que, intencionalmente ou não, tiveram seus dados sensíveis disponibilizados para qualquer usuário da rede social. O Pinterest não permite este tipo de publicação, mas não toma qualquer atitude mais drástica para coibir o upload; falaremos sobre isso em breve.
O TecMundo apurou os resultados encontrados pela internauta e, apesar do tweet original ter levantado um mutirão de denúncias no Pinterest – que derrubou muitas das postagens, ainda foi possível encontrar documentos escaneados, selfies segurando RGs e CNHs, comprovantes de endereço, dados de contas bancárias e até mesmo bases de dados de clientes de empresas estrangeiras.
Com a primeira denúncia, buscamos as mesmas palavras-chave em outras redes sociais e o resultado foi o mesmo: centenas de fotos e PDFs de documentos perdidos em marketplaces, grupos de falsificação de documentos – que publicam os RGs e CNHs adulterados, ou não.
Além disso, percebemos que não só brasileiros estavam envolvidos nesse problema: encontramos bases de dados com números de telefone, endereço e nome completo de americanos, até identidades de venezuelanos e colombianos.
A conexão com o Scribd
O usuário do X já havia ligado algumas das fotos a um site, que aparecia como dono de parte das publicações, o Scribd. Essa plataforma funciona como uma rede social de publicações digitais, na qual pessoas distribuem o seu conteúdo para quem quiser acessar e tudo gratuitamente.
O website permite que qualquer usuário disponibilize o seu texto ou documento em formato PDF, Word, Power Point e Excel para qualquer leitor da web do mundo todo. Essa plataforma reúne livros, cursos, apostilas e provas, que podem ser baixadas com uma assinatura do site ou com o compartilhamento de documentos pdf, txt, doc, ppt, xls ou docx.
É possível que os usuários tenham compartilhado suas identidades voluntariamente, mas o mistério é – por que esses documentos foram postados no Pinterest pela companhia?
Porta aberta para criminosos
A exposição desses documentos representa riscos graves e imediatos para as vítimas. Com acesso a RG, CPF e comprovante de residência, criminosos têm em mãos tudo o que precisam para diversos tipos de fraude.
Entre os principais riscos estão:
- Roubo de identidade financeira: abertura de contas bancárias, solicitação de empréstimos e cartões de crédito em nome das vítimas, gerando dívidas e manchando o histórico financeiro de pessoas inocentes.
- Criação de perfis falsos: plataformas que exigem verificação de identidade podem ser burladas com esses documentos, permitindo que criminosos criem contas falsas para golpes, venda de produtos inexistentes ou outras atividades ilícitas.
- Engenharia social aprimorada: com dados reais em mãos – nome completo, endereço, números de documentos – golpistas podem aplicar fraudes muito mais convincentes, se passando por instituições oficiais ou conhecidos das vítimas.
- Crimes de telecomunicações: registro de linhas telefônicas e chips em nome de terceiros para uso em atividades criminosas, fazendo com que as vítimas sejam associadas a crimes que não cometeram.
- Riscos específicos para menores: quando envolvem crianças e adolescentes, a exposição de documentos pode facilitar casos de exploração, criação de perfis falsos em nome de menores e até mesmo sequestros, já que endereços completos ficam disponíveis.
Durante a investigação, a reportagem identificou grupos e perfis dedicados à falsificação de documentos, que publicam abertamente RGs, CNHs e outros documentos – alguns claramente adulterados, outros aparentemente legítimos. Nesses espaços, documentos são comercializados ou usados como “modelos” para falsificações.
Também foram encontradas bases de dados inteiras, provavelmente obtidas através de vazamentos ou ataques a empresas, que acabam sendo redistribuídas em plataformas de compartilhamento de documentos como o Scribd, e posteriormente indexadas por outras redes.
Onde estão os filtros?
A facilidade com que documentos sensíveis permanecem acessíveis por dias, semanas ou até meses em plataformas populares levanta questões sérias sobre as políticas de moderação dessas empresas.
Tecnologias de reconhecimento de imagem já são capazes de identificar automaticamente documentos oficiais – recursos amplamente usados por bancos digitais, fintechs e aplicativos de verificação de identidade. Essas mesmas tecnologias poderiam ser implementadas nas redes sociais para bloquear ou sinalizar uploads de documentos antes mesmo que se tornem públicos.
Em testes realizados pela reportagem no Facebook, Pinterest, LinkedIn, Instagram e X (antigo Twitter), nenhuma das redes sociais apresentou qualquer trava ou sugestão de segurança ao tentar publicar documentos de identidade.
Nenhuma plataforma conseguiu identificar documentos e perguntar ao usuário se ele tem certeza de que deseja compartilhar dados sensíveis. Isso significa que, no momento mais crítico – quando alguém está prestes a expor seus documentos –, não há qualquer barreira de proteção ou alerta de segurança.
Plataformas como Facebook e Instagram já utilizam sistemas automáticos para detectar nudez, violência e conteúdo protegido por direitos autorais. A ausência de sistemas similares para detectar documentos de identidade é, no mínimo, questionável, especialmente considerando a popularidade de golpes de identidade no Brasil.
O Pinterest foi consultado pela reportagem e afirmou que não é permitida a publicação de imagens que revelem informações de identificação pessoal da plataforma.
“De acordo com nossa Política de Privacidade, não são permitidas imagens que revelem informações de identificação pessoal no Pinterest. Isso inclui carteiras de motorista, certidões de nascimento e outros documentos oficiais emitidos pelo governo. Aplicamos nossas políticas de forma rigorosa, e nossas equipes atuam prontamente para remover conteúdos que violem essas regras, como fizemos neste caso.”
Assim como em outras redes sociais, no Pinterest não há incentivo para que usuários não façam a postagem de suas informações pessoais. Após a emissão da declaração, o TecMundo conduziu uma pesquisa rápida no aplicativo e encontrou mais de 20 CNHs e RGs na primeira página de busca, com as mesmas palavras-chave do início da reportagem.
A única coisa que mudou é que a plataforma agora sinaliza que “algumas pessoas denunciaram Pins dessa pesquisa” e encoraja usuários a denunciar publicações que violem as políticas do site.
O Scribd, que está como responsável por posts de diversos documentos na rede social, não retornou aos contatos da reportagem até o fechamento desta matéria.
O que fazer: proteção e recuperação
Se você identificou seus documentos expostos em redes sociais, especialistas recomendam as seguintes ações imediatas:
- Denuncie na plataforma: use os mecanismos oficiais de denúncia da rede social para solicitar remoção urgente do conteúdo. No Pinterest, clique nos três pontos no canto do pin e selecione “Denunciar”. Descreva que se trata de informações pessoais suas. Guarde prints da denúncia e do conteúdo (com seus próprios dados censurados);
- Registre um boletim de ocorrência: procure uma delegacia (física ou virtual) e registre um B.O. sobre a exposição dos seus dados. Esse documento será importante para comprovar o caso junto a instituições financeiras e órgãos de proteção ao crédito. Muitos estados oferecem a possibilidade de registrar boletins de ocorrência online para crimes cibernéticos;
- Monitore seu CPF: cadastre-se em serviços gratuitos de monitoramento de CPF como Serasa Consumidor, Boa Vista e outros birôs de crédito. Esses serviços alertam quando há consultas ao seu CPF ou tentativas de abertura de contas e crédito. Verifique regularmente se não há dívidas ou contas que você não reconhece;
- Alerte instituições financeiras: entre em contato com seus bancos e operadoras de cartão de crédito informando sobre a exposição dos dados. Solicite que redobrem a atenção a atividades suspeitas em suas contas e considerem bloquear tentativas de abertura de novas contas em seu nome;
- Ative proteção antifraude: serviços como Serasa Premium e similares oferecem proteção adicional, incluindo alertas em tempo real sobre uso do CPF e até bloqueio preventivo de consultas ao seu nome no mercado. Avalie se o investimento vale a pena para seu caso;
- Considere denúncia à ANPD: em casos graves, especialmente quando envolve vazamento por empresas ou demora excessiva na remoção do conteúdo pelas plataformas, você pode fazer uma denúncia formal à Autoridade Nacional de Proteção de Dados através do site oficial;
- Acompanhe desdobramentos: mantenha-se atento a e-mails, mensagens e ligações suspeitas. Golpistas podem tentar usar seus dados para aplicar fraudes diretamente com você, se passando por instituições oficiais. Desconfie sempre e não forneça informações adicionais.
Contatos úteis:
- Denúncias ANPD: https://www.gov.br/anpd
- Delegacia Virtual (varia por estado): Pesquise “delegacia virtual [seu estado]”
- Serasa Consumidor: https://www.serasa.com.br
- Procon: 151 ou Procon do seu estado
- Registrato: https://www.bcb.gov.br/cidadaniafinanceira/registrato
Como prevenir a exposição
Prevenção é sempre o melhor caminho quando se trata de proteção de dados pessoais, por isso, é importante tomar alguns cuidados.
- Nunca publique documentos em redes sociais: por mais óbvio que pareça, muitas pessoas ainda compartilham documentos acreditando estar em ambientes privados. Redes sociais não são locais seguros para compartilhar informações sensíveis, mesmo em mensagens diretas ou grupos fechados;
- Use apenas canais oficiais para verificações: quando uma plataforma solicitar documentos, verifique se o pedido é legítimo e envie apenas através dos canais oficiais indicados pela empresa. Desconfie de solicitações por e-mail, WhatsApp ou redes sociais – empresas sérias não pedem documentos por esses meios;
- Adicione marca d’água em documentos digitais: sempre que precisar enviar uma foto ou scan de documento, adicione uma marca d’água visível indicando a finalidade específica. Exemplo: “Apenas para verificação na [nome da empresa] – [data]”. Isso dificulta o uso indevido do documento caso ele seja interceptado ou vazado;
- Cubra dados desnecessários: em muitas situações, não é necessário mostrar todos os dados do documento. Se uma loja pede apenas confirmação de idade, você pode cobrir número de RG, filiação e outros dados sensíveis. Use tarja preta ou blur para ocultar essas informações;
- Revise configurações de privacidade: regularmente, verifique as configurações de privacidade de todas as suas redes sociais. Certifique-se de que suas publicações não estão configuradas como públicas por padrão e que o compartilhamento automático de fotos está desativado;
- Cuidado com sincronização automática: serviços de nuvem como Google Fotos, iCloud e OneDrive podem sincronizar automaticamente todas as fotos do seu celular. Se você tirou foto de um documento, ela pode acabar na nuvem e, dependendo das configurações, ser compartilhada. Revise o que está sendo sincronizado;
- Desconfie de pedidos urgentes: golpistas costumam criar senso de urgência para fazer vítimas agirem sem pensar. Se alguém pressiona você a enviar documentos rapidamente, desconfie. Empresas legítimas dão tempo razoável para providenciar documentação;
- Eduque familiares vulneráveis: idosos e crianças/adolescentes são grupos especialmente vulneráveis. Converse com seus familiares sobre os riscos de compartilhar documentos online e oriente sobre práticas seguras.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.