Entenda como 120 milhões de CPFs ficaram expostos a hackers na internet
Caso é comparável ao do bureau de crédito Equifax, que deixou vazar dados de mais 140 milhões de norte-americanos em 2017
Gustavo Gusmão
Publicado em 18 de dezembro de 2018 às 08h01.
Última atualização em 18 de dezembro de 2018 às 08h01.
São Paulo — Mais de 120 milhões de CPFs ficaram expostos por um tempo inderterminado na web, em uma das falhas de segurança mais graves já registradas no Brasil.A brecha na segurança de um banco de dados foi descoberta pela empresa norte-americana InfoArmor e, no entanto, aparentemente não foi provocada por uma falha de software — mas sim por puro e simples descuido na configuração de proteção de um servidor.
A história toda começou em março deste ano. Em uma varredura de rotina, feita justamente para encontrar computadores comprometidos, uma equipe de especialistas da companhia dos EUA notou que o endereço de um servidor brasileiro, que normalmente tem acesso restrito, estava aberto. E segundo a InfoArmor, a porta do banco de dados foi destracanda basicamente porque que um documento nele, o chamado "index.html", foi renomeado para "index.html-bkp".
Parece até uma ação inofensiva, mas esse arquivo serve mais ou menos como uma camada básica de proteção. Conforme explica o site BleepingComputer, um servidor do tipo Apache, como o desse caso, exibe por padrão o conteúdo do "index.html" quando é acessado. Como o documento mudou de nome, o endereço ficou sem essa opção. Como alternativa, então, ele passou a mostrar o menu de pastas do banco de dados quando era acessado.
O que havia no servidor? Quais os riscos?
Estavam guardados nesse "cômodo aberto" basicamente os números de CPFs de 120 milhões de pessoas. O número é comparável ao de dados vazados pelo bureau de crédito Equifax, que afetou potencialmente mais 140 milhões de norte-americanos em 2017.
O número não é exatamente valioso sozinho, mas já permite a um cibercriminoso checar algumas informações sobre vítimas em potencial. Além disso, com alguns dados obtidos por outros meios (como outros vazamentos de dados), é possível fazer desde cadastros válidos no nome de uma pessoa até compras e pedidos de empréstimos.
Não há registros de que esses dados tenham sido acessados por outras partes além da InfoArmor, como a própria empresa explica. Porém, como ela também ressalta, as informações vazadas em uma falha de segurança do Yahoo em 2016 só foram aparecer na chamada dark web — o submundo online — um ano depois. Caso os CPFs expostos tenham sido obtidos por alguma organização maliciosa, pode demorar para que algo aconteça.
De toda forma, para uma vítima, não há muito o que fazer quando o numero é vazado. Afinal, o cadastro não é como uma senha, que pode ser modificada em um caso assim. A fim de evitar transtornos no futuro, outra companhia de segurança, a ESET, recomenda apenas que os usuários "monitorem de perto o documento".
De quem é a culpa?
A InfoArmor diz ter tentado entrar em contato com os responsáveis pelo servidor vulnerável ainda em abril. No entanto, não teve muito sucesso nas primeiras vezes. Enquanto tentava novamente, a companhia de segurança conseguiu acompanhar toda a movimentação nos arquivos, que diminuíam e aumentavam de tamanho.
A empresa só foi ter algum retorno semanas depois da primeira tentativa, mas a porta continuou aberta até o final de abril. Foi só então que a brecha no servidor foi corrigida, e o endereço IP que era acessível por todos foi foi reconfigurado para servir como a página de login do site alibabaconsultas.com (não relacionado à empresa chinesa Alibaba).
Não há, no entanto, muitas informações no local, apenas um aviso de que o endereço está em manutenção e será lançado em breve. Também não dá para cravar que a empresa por trás desse site tenha culpa no caso, embora a companhia de segurança acredite que há envolvimento.