Falha grave: servidor vazou 120 milhões de CPFs e outros dados valiosos

Não é um segredo que os números dos nossos documentos de identificação, principalmente o RG e o CPF, estão circulando há anos no mercado, de forma legal ou ilegal. Mas a descoberta da equipe da InfoArmor torna essa realidade muito assustadora. Segundo a empresa de segurança digital, 120 milhões de CPFs estavam comprometidos em um servidor de dados na internet.

A descoberta ocorreu em março, mas a empresa só informou o caso na terça-feira (11). A InfoArmor descobriu um servidor aberto durante uma de suas varreduras regulares na internet para detectar máquinas comprometidas, criação de reputação de endereços IP e agentes de ameaça.

A empresa descobriu que alguém havia renomeado o arquivo "Index.html" do servidor para "index.html_bkp", revelando o conteúdo do diretório para qualquer pessoa que conhecesse o nome do arquivo ou navegasse nele teria acesso irrestrito a todas as pastas e arquivos dentro, da forma mostrada abaixo.

A InfoArmor ressaltou que esta descoberta não foi um ataque hacker ou violação: a informação era livremente acessível a qualquer pessoa que tivesse acesso ao endereço do banco de dados.

Os dados expostos no servidor continham ainda outras informações sensíveis sobre brasileiros ligadas a cada CPF exposto, como histórico de empréstimos bancários, de débito e crédito, e também dados pessoais como nome completo, contatos de família e informações de empregadores.

"É muito provável que oponentes sofisticados reuniram esta informação. Demorou mais de um ano para os dados roubados do Yahoo serem colocados à venda na dark web, e dados tão exclusivos quanto os disponíveis no servidor provavelmente estão entre os dados mais negociados na dark web", diz Christian Lees, chefe de segurança da informação da InfoArmor.

"Duas medidas de segurança simples poderiam ter impedido isso: não renomear o arquivo index.html principal ou proibir acesso através da configuração do .htaccess. Nenhuma dessas medidas básicas de segurança cibernética estava em vigor", completou Lees.

Nos dias seguintes à descoberta inicial, a InfoArmor tentou determinar quem era o proprietário do servidor para avisá-lo da falha, com tentativas de mensagens para emails reconhecidos como donos daquele banco de dados. Depois de uma série de alterações no conteúdo, só em meados de abril todo o conjunto de dados foi protegido do acesso a estranhos.

A InfoArmor não descobriu as pessoas ou empresas responsáveis pela falha. Não há garantias se o conteúdio foi ou não acessado por terceiros nesse período.

"O que foi originalmente mal configurado para ser acessível por endereço IP foi reconfigurado como um site funcional com um autenticado domínio 'alibabaconsultas.com' que redirecionou para seu painel de login [onde é requerido senha]. Embora o InfoArmor não possa ter certeza que alibabaconsultas.com foi responsável por o vazamento, parece que eles estavam de alguma forma envolvidos, provavelmente na função de serviço de hospedagem", argumentou o especialista.

A InfoArmor ainda comparou a falha ao vazamento ao dos dados de 143 milhões de americanos em 2017, quando hackers invadiram o sistema da empresa de gestão de crédito Equifax. "Infelizmente, não é incomum que encontremos regularmente dados vazados em ambientes inseguros. Com a louca corrida para compartilhar serviços de nuvem alugada, estamos vendo uma enorme quantidade de dados vazados que é potencialmente 10 vezes maior do que a atividade real do agente de ameaça", diz Christian Lees.