OutlierReport
Seus dados ja viraram mercadoria. O preco assusta.

Seus dados ja viraram mercadoria. O preco assusta.

·5 min de leituraSegurança e Privacidade
Arthur Roschildt
Escrito porArthur Roschildt
Neste artigo

Seu celular nao fica quieto nem quando voce acha que nao fez nada. Antes do almoco, ele ja falou com torres de telefonia, aplicativos, redes de anuncios e empresas que voce nunca ouviu mencionar. Parte desses sinais, segundo pesquisadores e autoridades nos Estados Unidos, acabou revendida. Em alguns casos, foi parar em bases que podem ser acessadas legalmente por atores ligados a China, Russia, Coreia do Norte e Ira.

Foi esse o quadro consolidado por um relatorio do Joint Economic Committee do Congresso depois da investigacao publicada por CalMatters e The Markup. A conta oficial fala em mais de 651 milhoes de americanos expostos por vazamentos em Equifax, Exactis, National Public Data e TransUnion, com perdas estimadas em US$ 21 bilhoes por fraudes e roubo de identidade. Em um debate como o brasileiro, acostumado a discutir LGPD e seguranca digital de forma abstrata, esse numero ajuda a materializar o tamanho do problema.

O rombo nao veio de um app qualquer

A parte mais desconfortavel da historia e que essas empresas nao estavam no centro da crise porque mantinham uma rede social ou um banco digital de consumo. Elas foram atacadas justamente porque eram depositos de informacao. O negocio delas era comprar, combinar e revender perfis formados com dados do banco, da seguradora, de programas de fidelidade e do proprio telefone.

Foi assim que o Congresso chegou a um calculo simples, mas dificil de ignorar. A equipe usou uma perda mediana de US$ 200 por vitima de fraude e aplicou esse valor sobre a parcela de pessoas afetadas que depois relatou golpes. Equifax, em 2017, expôs 147 milhoes de americanos. Exactis, em 2018, 230 milhoes. National Public Data, em 2023, 270 milhoes. TransUnion, em 2025, mais 4 milhoes. O retrato final sugere que o americano medio aparece em pelo menos tres desses vazamentos.

Os 33 nomes que quase ninguem reconhece

Enquanto o Congresso fazia a conta do prejuizo, o Electronic Privacy Information Center analisou o cadastro de corretores de dados da California e encontrou algo ainda mais serio. Trinta e tres empresas registradas no estado declararam em documentos oficiais que venderam ou compartilharam dados com atores nao americanos em paises que Washington classifica como adversarios estrangeiros. Cinco dessas 33 tambem informaram que coletam geolocalizacao precisa.

Esse detalhe muda tudo. Geolocalizacao precisa nao e saber em que cidade voce mora. E saber em qual clinica voce entrou, em qual estacionamento voce parou, em qual templo religioso esteve ou em qual abrigo voce buscou ajuda. Quando o dado chega com esse nivel de resolucao, a palavra “anonimo” comeca a perder o sentido.

“Dado anonimizado” quase nunca quer dizer o que parece

A defesa classica do setor e dizer que os dados foram desidentificados. Na pratica, isso costuma significar que o nome saiu da planilha, mas o padrao de comportamento continuou inteiro. Se um aparelho dorme todas as noites em um endereco e passa os dias uteis em outro, dois pontos bastam para ligar o dispositivo a uma pessoa real.

Analistas da Lawfare mostraram como um servico de inteligencia estrangeiro poderia comprar fluxos comerciais de dados, cercar digitalmente uma instalacao nuclear e acompanhar depois cada aparelho que cruzou aquele perimetro. O risco, portanto, nao esta apenas no golpe financeiro. Ele atinge seguranca nacional, rotina de funcionarios publicos e a privacidade de qualquer cidadao comum.

A industria raramente fala de preco, mas os contratos conhecidos dao uma pista. O estado de Illinois comprou dois anos de historico de localizacao precisa de mais de 5 milhoes de pessoas por cerca de US$ 50 mil. Em valores brasileiros de hoje, isso fica em torno de R$ 250 mil. Ou seja: 24 meses de deslocamentos de uma multidao inteira sairam pelo valor de um projeto pequeno de tecnologia.

O problema nao termina quando voce tenta sair

A teoria diria que o consumidor poderia se opor e encerrar o ciclo. A pratica mostrou algo diferente. Reporteres do The Markup encontraram corretores escondendo paginas obrigatorias de opt-out com codigo “no-index”, justamente para dificultar que elas aparecessem no Google. A recomendacao do comite foi direta: no minimo, a opcao de saida deveria ser facil de localizar e usar.

A FTC tambem enviou cartas de conformidade a 13 empresas com base no Protecting Americans' Data from Foreign Adversaries Act, lei de 2024 que proibe a venda de dados sensiveis de americanos para entidades controladas por adversarios estrangeiros. Ainda assim, os registros sugerem que a pratica prosseguiu em 2025. O mesmo ecossistema conversa com outros mercados paralelos, dos vazamentos por credenciais roubadas ao modelo de fingerprinting do navegador.

O que da para fazer nesta semana

Nao existe solucao perfeita, mas ha como reduzir a exposicao. Um caminho e fazer pedido de exclusao no cadastro de corretores de dados da California, mesmo morando fora dos Estados Unidos, porque varias empresas preferem aplicar a remocao de forma ampla. Outro e apagar o identificador de publicidade do telefone, no iPhone ou no Android, que funciona como costura entre aplicativos.

Tambem vale revisar, um por semana, os apps que pedem localizacao precisa e reduzir para localizacao aproximada quando possivel. Parece detalhe, mas e esse tipo de permissao excessiva que alimenta tanto o comercio de dados quanto vazamentos associados a spyware usado por governos. O ponto central e simples: o custo de coleta ficou baixo demais, o custo de revenda tambem, e o custo para o individuo continua alto. O Congresso conseguiu colocar preco no roubo de identidade. Ainda falta medir quanto vale, para um adversario estrangeiro, saber por onde voce passou ontem.

Fontes e Referências

  1. Electronic Privacy Information Center (EPIC)
  2. CalMatters / US Joint Economic Committee
  3. The Markup
  4. Lawfare

Conheça nossos padrões editoriais

Talvez você goste de: