De RG a celular: vazamento de milhões de dados da FIESP entra na mira do MP

Uma empresa de segurança cibernética da Estônia, o país mais conectado do mundo, encontrou um banco de dados da FIESP (Federação das Indústrias do Estado de São Paulo) com mais de 180 milhões de registros. De acordo com a companhia, havia 34 milhões de registros de informações pessoais, como nome, RG, CPF e até número de celular. O caso passou a ser investigado pelo MPDFT (Ministério Público do Distrito Federal e Territórios).

Os autores da descoberta são pesquisadores da Hacken Proof, uma firma que faz a ponte entre empresas e hackers contratados para achar falhas em sistemas corporativos.

VEJA TAMBÉM:

• "Meu WhatsApp foi clonado": como vítima de golpe recuperou conta no app
• Seu PC tem um vírus: brasileiros ainda caem no golpe do suporte técnico
• Esqueceu de cuidar da segurança digital? O exército dos EUA também

A Hacken Proof revelou nesta quarta-feira (21) ter encontrado milhões de dados da FIESP enquanto fazia uma busca por bases de dados abertas ou expostas no Elasticsearch, uma ferramenta de análise de dados usada por gigantes como Microsoft, Facebook, Netflix, Uber e IBM. No total, a firma estoniana encontrou 180.104.892 registros.

Pelo menos, 3 índices (‘FIESP’, ‘celulares’ e ‘externo’) que nós analisamos continham informações pessoais de cidadãos brasileiros
Hacken Proof

• O maior desses repositórios de dados, intitulado “FIESP”, possuía 34,8 milhões registros pessoais, como:
• Nome
• RG
• CPF
• Sexo
• Data de nascimento
• Endereço completo
• Email
• Número de celular

Dado o volume de informações, o MPDFT instaurou um inquérito nesta quinta-feira (22) um civil público para apurar se a federação é responsável pelo incidente de segurança.

O Hacken Proof afirma que acessou a base em 12 de novembro. A FIESP confirma a informação.

Maior entidade industrial do Brasil, a associação lida com informações de diversos espectros sociais brasileiros, de dados corporativos a pessoais. Isso ocorre porque ela representa mais de 130 sindicatos patronais, que congregam 130 mil empresas, além de administrar as entidades em São Paulo do Sistema S, como Sesi e Senai.

O UOL Tecnologia procurou a FIESP para saber de quem ou de que empresas poderiam ser esses dados. A organização informa que haviam apenas “dados cadastrais” e não incluía “informações sensíveis e nem senhas”. Nega, porém, que “qualquer informação pessoal do cadastro tenha sido exposta”.

VEJA TAMBÉM:

• Notou algo estranho? Como descobrir se celular está sendo espionado
• Este caso mostra por que você nunca deve postar ingressos na web
• Nada de invasão: 5 dicas para se proteger de ciberataques

Ao constatar que as informações estavam expostas, a Hacken Proof aletou a FIESP, que também confirma o contato. De pronto, não recebeu resposta. A empresa de segurança diz que o banco de dados foi tirado do ar após um jornalista brasileiro entrar em contato com a federação. Já a FIESP dizer, sim, ter acionado a Hacken Proof.

A FIESP entrou em contato com a referida empresa, que afirmou não ter tornado públicos e ter destruído posteriormente os dados a que alega ter tido acesso.  Afirmou ainda que seu objetivo foi expor eventuais vulnerabilidades para prevenção de potenciais vazamentos

Segundo a companhia estoniana, outras varreduras como essa já identificaram que a falta de cuidado em criar padrões mais rigorosos de acesso permitiu que cibercriminosos instalassem programas maliciosos nos servidores da Elastisearch, a ferramenta em que achou os dados desprotegidos da FIESP. Entre os malware localizados estavam ransomware, o vírus que sequestra computadores e celulares e só os libera mediante pagamento em dinheiro, geralmente em moeda virtual.

Uma vez que o malware está ali, os criminosos podem remotamente acessar os servidores e até lançar uma execução de código para roubar ou destruir completamente qualquer dado salvo que o servidor contenha

Hacker Proof