PUBLICIDADE
Topo

Site Fui Vazado tem boa intenção, mas traz brecha; veja o que tem no código

Estúdio Rebimboca/UOL
Imagem: Estúdio Rebimboca/UOL

Hygino Vasconcellos

Colaboração para Tilt

05/02/2021 04h00

O site "Fui Vazado" ficou conhecido na última semana por checar se alguém teve dados pessoais expostos no megavazamento de informações de mais de 220 milhões de brasileiros. Para fazer o levantamento, a página pede CPF e data de nascimento e cruza com as dezenas de informações que constam do banco de dados que está sendo vendido por criminosos na deep web. Foi isso que deixou muita gente com a pulga atrás da orelha.

Por mais que o site pareça ser bem intencionado, já que o desenvolvedor Allan Fernando Armerlin da Silva Moraes não se esconde atrás de uma identidade anônima, coloca dados de contato e inclusive abriu o código-fonte para quem quisesse olhar, profissionais da área descobriram uma brecha de segurança na página que pode ser explorada por hackers e causar novos problemas a quem testou o site.

Falha no código

Tilt pediu que o professor da USP (Universidade de São Paulo) Rodolfo Meneguette e o presidente da Abraseci (Associação Brasileira de Segurança Cibernética), Hiago Kin, analisassem o código-fonte do "Fui Vazado" —que foi divulgado nesta semana por seu criador.

Uma brecha foi detectada no cabeçalho do código do site, que permite que algum hacker copie os dados pessoais de quem busca saber se foi afetado pelo vazamento.

"Não foi colocado script no cabeçalho, e nele o navegador recebe algumas instruções sobre segurança", diz Kin. Um script é como um pequeno roteiro para executar certas tarefas no site.

Outra ação possível é redirecionar o carregamento da página para um site falso, criado pelo hacker com o objetivo de conseguir mais dados das vítimas. Por enquanto, não há registros de casos deste tipo envolvendo o "Fui Vazado".

Um dos grandes problemas constatado por Meneguette é que a página não oferece uma proteção para a entrada de informações pessoais, já que não possui criptografia capaz de "embaralhar" o dado.

Seria bom ainda ter adotado uma função hash, que combina caracteres aleatórios com o dado real e serve como "escudo", explica o desenvolvedor Lucas Lago, pesquisador no Centro de Estudos Sociedade e Tecnologia da USP.

Nas redes sociais, um possível risco levantado é que a pessoa, ao usar o site, acabaria confirmando que está viva e, portanto, o dado é útil. Lago concorda que esta é uma conclusão possível, mas Kin não identificou na página nenhum mecanismo que funcionasse como "prova de vida".

"Normalizando" o perigo

Ainda assim, os especialistas ouvidos por Tilt se dividem sobre os riscos do "Fui Vazado". Para uns, ele é transparente e não fere a LGPD (Lei Geral de Proteção de Dados), porque não tem uso comercial. Para outros, a possibilidade de terceiros consultarem no site em nome de outra pessoa, além da ausência de ferramentas de segurança digital, são pontos preocupantes.

Lago vai além e diz que, ao digitar o CPF em sites assim, as pessoas "normalizam comportamento perigoso". A ideia é que você evite sempre colocar qualquer dado pessoal em sites que não sabe se são realmente seguros.

Sempre me impressiona como as pessoas facilmente passam dados sensíveis. É um site que ninguém viu na vida, não é ligado a ONG ou entidade com reputação, e muita gente confiou cegamente. Quanto mais informação se dá, mais fragiliza sistemas de segurança, bancos e operadoras de celular, entre outros
Eduardo Cuducos, desenvolvedor de software da Open Knowledge Brasil

No ano passado, Lago e Cuducos criaram um sistema de consulta similar ao "Fui Vazado", mas que usava a função hash para proteger os dados. Nele, a pessoa poderia verificar se seu nome estava em um dossiê de antifascistas do deputado estadual Douglas Garcia (PSL-SP), que após o vazamento negou ser de sua autoria. O passo a passo está aqui.

Hiago Kin também entende que o desenvolvedor do "Fui Vazado" não teve acesso à base de dados completa do vazamento. Segundo o presidente da Abraseci, o site usa a linguagem PHP, que tem um limite de leitura dos dados que varia entre 800 mil a 1 milhão de registros. No caso desse vazamento, são mais de 220 milhões de registros. "É muito registro, então precisa ter mecanismo de busca e gerenciar memória", explica. Para processar tantas informações, seriam necessários ao menos 200 computadores e armazenamento em nuvem, o que geraria um gasto de R$ 40 mil por mês.

"Acredito que ninguém teve acesso a esse banco de dados com informações completas de 223 milhões de pessoas. Continuamos investigando e não encontramos 223 milhões de registros de CPFs. O que encontramos até agora foi bem menor que isso, de 40 a 47 milhões de registros únicos, de bases de dados unificadas, como empresas de telefone e de previdência privada", afirma.

A reportagem voltou a procurar o desenvolvedor Allan Moraes, criador do "Fui Vazado", para responder às possíveis falhas de segurança, mas o contato não foi retornado.