CPF de 120 milhões de brasileiros vazam na Internet



Falha ocorreu devido a um servidor mal configurado e expôs 57% da população

A ESET, empresa líder em detecção proativa de ameaças, comenta o caso descoberto em março de 2018 pela empresa InfoArmor. Seus pesquisadores descobriram um servidor web Apache mal configurado que continha arquivos com o número de CPF de 120 milhões de brasileiros que estavam expostos e poderiam ser acessados por qualquer pessoa.
 
O “Cadastro de Pessoas Físicas” ou CPF é necessário, entre outras coisas, para realizar transações financeiras, como abrir uma conta bancária, comprar um imóvel, abrir um negócio, pagar impostos, etc. Nesse sentido, cada número de CPF exposto está associado a um histórico bancário e fiscal. Considerando isso, o volume de informações sensíveis expostas por esse erro representa aproximadamente 57% da população do Brasil.
 
Depois de analisar mais de perto o servidor mal configurado, os pesquisadores descobriram que alguém havia modificado o nome de um arquivo de “index.html” para “index.html_bkp“. Essa mudança de nome é uma das razões pelas quais as informações foram expostas.

Como explicam os especialistas, qualquer pessoa que soubesse o nome do arquivo e o encontrasse poderia ter acesso livre a todas as pastas e arquivos.

Esses arquivos, que variam de 27 megabytes a 82 gigabytes, continham bancos de dados com informações relacionadas ao CPF.
 
A InforArmor tentou entrar em contato com o proprietário do servidor para comunicar a descoberta. E, embora tenha havido várias tentativas fracassadas, o erro de segurança foi reparado e as informações deixaram de estar acessíveis.
 
De acordo com os pesquisadores que descobriram esse vazamento de dados, é provável que algum cibercriminoso ou grupo com recursos de coleta de dados os tenha detactado. Caso isso realmente tenha ocorrido, é muito provável que esses dados possam ser usados ??no futuro para uma campanha maliciosa ou ataque direcionado ao Brasil.
 
O pesquisador de segurança da ESET, Daniel Cunha Barbosa, destaca que caso um cibercriminoso tenha acesso ao número de CPF “é possível gerar fraudes como cadastros válidos no nome de uma pessoa e, dependendo do nível de informações adicionais que o criminoso possua, fazer compras e até mesmo contratar empréstimos”, ressaltou o especialista. A ESET recomenda monitorar de perto o documento para evitar qualquer transtorno no futuro.

Google+: nova falha expôs informações pessoais de 52,5 milhões de usuários


O erro estava em uma atualização que foi apresentada em novembro passado e que afetou a API do Google+ chamada "People:get". Esta API, projetada para permitir que os desenvolvedores solicitem informações básicas associadas à conta do usuário, não funcionou como deveria e deixou expostas aos desenvolvedores as informações de 52,5 milhões de usuários, como nome, endereço de e-mail, sexo, idade, ocupação, entre outros dados. O bug foi descoberto pelos engenheiros do Google ao realizar testes de rotina. Depois desse novo incidente, o Google anunciou que adiantaria o fechamento da rede social, de agosto para abril de 2019.
Incidente anterior
A decisão de fechamento foi tomada, entre outras coisas, após a descoberta de uma violação de segurança que expunha os dados dos perfis de mais de 500 mil usuários. Apesar da primeira falha ter sido divulgada apenas em outubro, ela ocorreu no início de 2018. Esse bug permitiu que desenvolvedores de aplicativos de terceiros acessassem dados marcados como privados, armazenados no Google+ desde 2015,, quando deveria ter autorizado somente informações públicas às quais, por padrão, os aplicativos de terceiros têm permissão de acesso.
Além disso, a primeira falha não apenas permitiu que os desenvolvedores acessassem informações privadas dos usuários, mas também de seus amigos, deixando expostas as informações de mais de meio milhão de pessoas. No entanto, o Google afirmou que não há evidências de que qualquer um dos 438 aplicativos de terceiros que usaram a API tenha se aproveitado do bug.
"O vazamento de informações confidenciais de grandes empresas está se tornando comum. O objetivo da ESET é conscientizar os usuários sobre os riscos aos quais seus dados estão expostos, portanto, a educação é o primeiro passo para se proteger. Para isso, a ESET recomenda sempre ter um duplo fator de autenticação, bem como com senhas fortes para serviços contendo dados sensíveis e soluções de segurança instaladas e atualizadas", conclui Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET América Latina.

Comentários