Dados de 120 Milhões de brasileiros é exposto na internet. Banco de dados contendo informações de identificação pessoal de 120 milhões de cidadãos e residentes brasileiros estava acessível na internet, de acordo com um relatório publicado na semana passada pela empresa de cibersegurança InfoArmor.
Os registros continham o Cadastro de Pessoas Físicas (CPF) de mais da metade da população brasileira de 210 milhões. Os CFPs desprotegidos estavam ligados às informações básicas de contato das pessoas, às contas financeiras, ao histórico de crédito e débito, às relações familiares do histórico de votação e muito mais, informa a InfoArmor.
Em março de 2018, a equipe de inteligência de ameaças avançada da InfoArmor descobriu um servidor http aberto durante a varredura regular da Internet em busca de máquinas comprometidas, criação de reputação de IP e atividade do agente de ameaça.
O servidor mal configurado e publicamente acessível continha 120 milhões de Cadastro de Pessoas Físicas (CPFs) vinculados a bancos, empréstimos, reembolsos, histórico de crédito e débito, histórico de votação, nome completo, e-mails, endereços residenciais , números de telefone, data de nascimento, contatos familiares, emprego, números de registro de votação, números de contrato e valores de contrato.
Infelizmente, não é incomum a equipe de pesquisa do InfoArmor encontrar regularmente dados que vazaram em buckets inseguros do S3 e servidores mal configurados, revelando publicamente informações que devem ser privadas. “Com a louca corrida para compartilhar serviços de nuvem de locatários, estamos vendo uma enorme quantidade de dados vazados que é potencialmente 10 vezes maior do que a atividade real de agentes de ameaças“, diz Christian Lees, diretor de inteligência da InfoArmor.
É importante notar que esta descoberta não é um hack ou violação, a informação era livremente acessível a qualquer pessoa que estivesse procurando. Dito isso, essa era uma lista extensa de informações prontamente disponíveis, altamente pessoais e valiosas para cerca de 57% da população do Brasil, e é muito provável que adversários sofisticados tenham colhido essas informações. Levou mais de um ano para dados roubados do Yahoo aparecerem à venda na web escura, e dados tão exclusivos quanto o que estava disponível no servidor CPF do Brasil provavelmente serão comercializados entre os dados mais fechados e exóticos da dark web. Por esse motivo, a equipe do InfoArmor informou em seu relatório que está monitorando de perto qualquer emergência desses dados e espera conscientizar as pessoas de que suas informações podem estar em risco.
Ainda não está claro quem é o proprietário do banco de dados. O InfoArmor disse que tentativas repetidas de contatar os proprietários durante várias semanas não resultaram em resposta adequada. Os pesquisadores dizem que observaram alguém gerenciando e substituindo arquivos no servidor aberto durante a investigação, e o servidor acabou sendo reconfigurado em um site com uma página de login em um subdomínio de “alibabaconsultas.com”, porém consultando este endereço de web fomos direcionados para uma página free do GoDaddy.com .
Eventualmente, os pesquisadores dizem que receberam uma resposta dos anfitriões dizendo “que eles haviam notificado seus clientes sobre as questões legais de deixar tais dados expostos, mas os dados permaneceram expostos on-line por várias semanas depois“.
“Embora o InfoArmor não possa ter certeza de que o alibabaconsultas.com foi responsável pelo vazamento, parece que eles estavam de alguma forma envolvidos, provavelmente em uma função de hospedagem como serviço“, diz o relatório.
A descoberta da InfoArmor destaca o problema persistente de bancos de dados conectados à Internet, configurados incorretamente, que podem expor as informações confidenciais dos indivíduos a atores nefastos. O caso do Brasil, particularmente com sua escala, tem semelhança com a mega violação da Equifax no ano passado, que expôs mais de 148 milhões de informações privadas de pessoas, incluindo SSNs.
Na visão deste do Blog Minuto da Segurança é que os dados numéricos de identificação pessoal CPF e RG já não podem ser considerados privados, uma vez que são utilizados amplamente sem qualquer restrição, a começar na informação ao caixa de mercado para reivindicar o retorno de créditos pagos em impostos ou em preenchimento de fichas cadastrais de lojas e sorteios dos mais variados.
“Considerando a quantidade de vazamentos e exposições de dados pessoais, o pressuposto de privacidade de dados pessoais já não existe, o que temos que fazer é aprender a conviver e minimizar os riscos desta exposição, zelando pelos pequenos segredos que dão acessos as nossas contas e hábitos pessoais“
Kleber Melo – Sócio Diretor da MindSec
O problema do vazamento reportado não se encontra exclusivamente na relação de números de CPF, mas a associação deste com o nomes, débitos, créditos, contas, reembolsos e até mesmo históricos de votação e relações familiares.
Fonte: InfoArmor Report & CyberScoop
Veja também:
- Protiviti relaciona os TOP 10 Risks para 2019
- Banco Inter aceita pagar R$1,5 Milhão por vazamento de dados
- China é suspeita por violação de dados do Marriott
- Mais um vazamento de dados
- O que aprendemos com o vazamento da TIVIT ?
- Prosegur adquire Cipher
- POSICIONAMENTO TIVIT sobre vazamento de dados de clientes
- Vaza dados e senhas de clientes da TIVIT
- E-mails expõem discussões internas confidenciais do E-eMails expõem discussões do Facebook sobre venda de informações de usuários
- Como os adversários usam ataques Fileless para escapar da segurança
- A vez da Sky deixar vazar dados de clientes
- A primeira grande falha em Kurbenets possibilita hacking remoto
há uns 6 anos se comprava CDs na rua com essas informações, estive em Brasília em uma reunião no ministério da justiça falando do vazamento de dados do INFOSEG, infelizmente o governo passado não dava muita atenção a esses assuntos
Absurdo. Continuam tratando nossas informações como lixo. Gestores precisam ser punidos pra essa situação mudar.