Um banco de dados em um servidor mal configurado, contendo informações de identificação pessoal de 120 milhões de cidadãos brasileiros estava acessível na internet por algum tempo, de acordo com um relatório publicado na terça-feira pela empresa de cibersegurança InfoArmor.
Os registros continham o Cadastro de Pessoas Físicas (CPF) de mais da metade da população brasileira, considerando uma população total de 210 milhões, aproximadamente. Os CPFs desprotegidos estavam ligados a informações básicas de contato das pessoas, às contas financeiras, ao histórico de crédito e débito, às relações familiares, histórico de votação e muito mais, informa a InfoArmor.
Para se ter uma ideia da dimensão, antes que um cidadão brasileiro possa realizar atividades como abrir uma conta bancária, criar um negócio, pagar impostos ou obter empréstimos, ele deve primeiro solicitar um CPF. É semelhante ao cartão do Seguro Social dos EUA; como um número de CPF fica associado às informações financeiras e pessoais de uma pessoa, é obviamente um risco se forem publicamente expostos.
Os pesquisadores da empresa dizem que encontraram o servidor HTTP acessível abertamente em março de 2018 enquanto analisavam a Web em busca de máquinas comprometidas.
Dentro do banco de dados, o arquivo index.html
foi renomeado para index.html_bkp
, o que, segundo o relatório, tornou visível para o público. Isso ocorre pois, por padrão, um servidor web Apache retorna o conteúdo de um arquivo padrão chamado index.html
quando este está presente. Se um arquivo com esse nome não existir e as listagens de diretório estiverem ativadas, ele exibirá os arquivos e pastas e permitirá que usuários tenham acesso e façam download. Esses arquivos são arquivos de dados que variam de tamanho, de 27 Mb a 82 Gb.
A seguir, confira os arquivos de banco de dados expostos:
Qualquer um que soubesse o que eles estavam procurando poderia ter encontrado, diz o InfoArmor. Embora os dados não tenham sido descobertos como parte de uma violação, os pesquisadores alertam que hackers poderiam ter acessado o site e que pode demorar um pouco até que evidências de exploração sejam reveladas.
“Levou mais de um ano para dados roubados do Yahoo aparecerem à venda na dark web, e dados tão exclusivos quanto o que estava disponível neste servidor com tais CPFs provavelmente serão comercializados entre os dados mais fechados e exóticos da dark web”, diz o relatório.
Ainda não está claro quem é o proprietário do banco de dados. O InfoArmor disse que tentativas repetidas de contatar os proprietários durante várias semanas não resultaram em resposta adequada.
Os pesquisadores, disseram, ainda, que observaram alguém gerenciando e substituindo arquivos no servidor aberto durante a investigação – um arquivo de 82 Gb foi substituído por um arquivo .sql de 25 Gb, embora o nome do arquivo tenha permanecido o mesmo.
Com base nos tipos de arquivos armazenados no diretório e nos dados contidos neles, é uma boa possibilidade que o diretório tenha sido utilizado para armazenar backups de banco de dados sem perceber que os arquivos estavam disponíveis publicamente.
Eventualmente, os pesquisadores dizem que receberam uma resposta dos anfitriões dizendo “que eles haviam notificado seus clientes sobre as questões legais de deixar tais dados expostos, mas os dados permaneceram expostos online durante várias semanas depois”.
“Embora o InfoArmor não possa ter certeza de que o ‘alibabaconsultas.com’ foi o responsável pelo vazamento, parece que eles estavam de alguma forma envolvidos, provavelmente em uma função de hosting-as-a-service”, diz o relatório.
Como o InfoArmor não conseguiu se comunicar adequadamente com os proprietários do banco de dados, é difícil dizer com certeza se os cibercriminosos ou outros agentes mal-intencionados acessaram o banco de dados. Ainda assim, os pesquisadores expressaram confiança de que grupos determinados não sentiriam falta disso. Finalmente, no fim de março, o diretório estava protegido e os arquivos não estavam mais disponíveis.
“É seguro assumir que qualquer organização de inteligência ou grupo de crimes cibernéticos com capacidade e conhecimento de coleta razoáveis terá capturado esses dados. Esses dados podem muito provavelmente serem usados contra a população do Brasil, a nação do Brasil ou qualquer nação que acolha pessoas que tenham um CPF”, escreveram os pesquisadores. Não se sabe se quaisquer outros pesquisadores ou criminosos descobriram os dados antes de serem colocados offline.
O que é preocupante é por que dados como este estavam em um servidor de terceiros em primeiro lugar.
A descoberta da InfoArmor destaca o problema persistente de bancos de dados conectados à Internet, configurados incorretamente, que podem expor informações confidenciais de indivíduos a agentes maliciosos.
O caso do Brasil, particularmente com sua escala, tem semelhança com a mega violação da Equifax no ano passado, que expôs mais de 148 milhões de informações privadas de pessoas, incluindo SSNs.
Relatório Completo – Faça o Download
Para baixar o relatório completo, baixe por este link.
.
* * * * *
.
Com informações de cyberscoop e bleepingcomputer.
Tradução por Tiago Souza
Imagem destacada no post: Ibrandify / Freepik (banco de imagens)
.