Falha no site do Detran-RS expôs RG e CNH de 5,1 milhões de motoristas

Uma falha recém-descoberta nos sistemas do Detran-RS (Departamento Estadual de Trânsito do Rio Grande do Sul) expôs informações pessoais de 5,1 milhões de motoristas. Era possível acessar RG (identidade), número de CNH (Carteira Nacional de Habilitação), Renach (Registro Nacional de Carteira de Habilitação), multas e placas de carro, entre outros dados. Após o alerta feito por Tilt, a falha foi corrigida na quarta-feira (27).

É sempre bom reforçar que deixar dados pessoais sensíveis dando sopa por aí é algo bem sério e pode facilitar uma série de golpes. O criminoso pode usar seu RG para se inscrever em algum serviço e fazer compras em seu nome. Ou usar sua CNH para clonar seu veículo ou falsificar sua carteira de motorista.

Relacionadas

Já são 9 bilhões de senhas vazadas! Como saber se a sua foi exposta e agir

Vazamento de dados ou ataque hacker podem afastar investidores

Receba notícias de Tilt em seu WhatsApp

Consultado pela reportagem, o Detran-RS informou num primeiro momento que a Procergs (Companhia de Processamento de dados do RS) está investigando o caso e que se pronunciaria após as análises de segurança. Após a publicação da reportagem, o departamento informou que conta com dispositivos de segurança para monitorar e bloquear tentativas de acessos irregulares (mais detalhes da nota podem ser encontrados mais abaixo).

Descoberta pelo técnico em redes Mateus Gomes e pelo pesquisador de segurança Jonathan Fonseca, a falha foi encontrada no Portal de Trânsito, um site do Detran-RS com serviços para os motoristas. Ao analisar o código, Gomes notou que era possível ter acesso a duas APIs (uma espécie de "interface de consulta") sem a necessidade de autenticação (login e senha). Uma API tinha detalhes dos motoristas, e outra, dados de veículos.

Do motorista:

• Número de RG (identidade)
• Número, validade, data de Emissão e tipo de categoria da CNH
• Número do Renach
• Endereço e telefone da Auto-Escola que a CNH foi retirada

Do carro:

• Número da Placa
• Modelo do Veículos
• Renavam (Registro Nacional de Veículo)
• Valores, local e hora da aplicação de multas

Tendo dados do RG de um condutor, um atacante poderia consultar essas informações e, a partir dela, fazer associações para obter outros dados sensíveis.

Segundo Gomes, o sistema não validava corretamente a origem das requisições —ou seja, qualquer pessoa com conhecimento técnico poderia acessar dados privados sem nenhum tipo de identificação de segurança.

"Além de não validar corretamente a origem das solicitações, o sistema não possuía nenhum tipo de proteção contra ataques de força bruta ou limitador de requisições", explica o técnico em redes. Dessa forma, conclui ele, um atacante poderia testar diversas possibilidades até encontrar dados válidos de forma automatizada.

Após a publicação da reportagem, o Detran-RS enviou uma nota para Tilt informando que possui uma série de serviços de consultas e que é referência em transparência. O departamento ressalta que "o acesso à esta base de dados pressupõe que o interessado tenha, em mãos, dados pessoais (como RG, Renach ou CNH)" e que "não é possível a obtenção de dados sem essas informações anteriores".

Por fim, o órgão diz que conta com uma "série de dispositivos de segurança que monitoram e bloqueiam eventuais acessos irregulares ou indevidos a essas informações.

Não há relatos ainda se esses dados foram obtidos por terceiros. Ao todo, o Estado do Rio Grande do Sul diz ter 5,1 milhões de CNHs de condutores.

Problemas à parte, resta saber se os responsáveis pelas informações dos dados do Detran-RS irão cumprir aquilo que está previsto na LGPD (Lei Geral de Proteção de Dados), que inclui uma advertência ou divulgação da infração pela ANPD (Autoridade Nacional de Proteção de Dados).