PUBLICIDADE
Topo

Falha no Ministério da Economia expôs milhares de dados, como selfie com RG

iStock
Imagem: iStock

Abinoan Santiago

Colaboração para Tilt, em Florianópolis

16/06/2022 08h00Atualizada em 30/06/2022 12h00

Uma falha de cibersegurança em um servidor do Ministério da Economia deixou expostos dados de mais de 20 mil brasileiros. O caso foi descoberto em janeiro de 2021 e está em um relatório da unidade de inteligência e ameaças do Group-IB, empresa de cibersegurança com sede em Cingapura e com parcerias com órgãos de investigação, como Interpol.

Tilt conseguiu acesso ao documento com exclusividade. De acordo com o relatório, foram expostas selfies de pessoas segurando a carteira de identidade e de habilitação. Esse procedimento é usado quando algum comando de cadastro solicita que o internauta comprove a sua identidade.

Milhares de selfies de brasileiros estiveram expostas, diz Group-IB - Divulgação/Group-IB - Divulgação/Group-IB
Milhares de selfies de brasileiros estiveram expostas, diz Group-IB
Imagem: Divulgação/Group-IB

O caso foi descoberto em janeiro de 2021, mas os analistas do Group-IB acreditam que as credenciais estavam expostas havia pelo menos dois meses. A verificação não conseguiu identificar se a falha seria resultado de violação ou vazamento proposital, mas os dados acabaram sendo retirados do ar após o governo federal ser avisado pela empresa.

As fotos dos cidadãos saíram do ar dez horas depois do comunicado enviado pela empresa de Cingapura, que entrou em contato com o CTIR Gov (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo), departamento vinculado ao GSI (Gabinete de Segurança Institucional), comandado pelo general Augusto Heleno, no Palácio do Planalto.

Tilt procurou o GSI para comentar a falha de cibersegurança que expôs mais de 20 mil brasileiros, mas ainda não obteve retorno.

O Ministério da Economia informou "que municiou as investigações da Polícia Federal sobre o ataque cibernético e criminoso, no começo deste ano, contra empresa contratada por licitação para atender a chamados feitos ao órgão". A pasta também disse que "da apuração, podem resultar inclusive sanções à empresa contratada" e que, "na época, o ministério ainda comunicou todos os demais órgãos competentes para tomarem as medidas adequadas".

Nosso primeiro pensamento foi: 'uau, alguém esqueceu um diretório de 55 GB com dados confidenciais em um servidor disponível publicamente'. Não tínhamos ideia de quem esse servidor pertencia, mas parecia haver pessoas reais segurando suas identificações nas fotos de selfie para fins de verificação. Anastasia Tikhonova, chefe de pesquisa avançada de ameaças persistentes da equipe de inteligência de ameaças do Group-IB.

"A única coisa certa a fazer era entrar em contato com as autoridades competentes para que eles pudessem tomar as ações necessárias para mitigar os riscos", acrescentou.

Como a falha foi descoberta

De acordo com a empresa, o caso brasileiro apareceu no radar das equipes durante os processos de rotina de coleta de inteligência e ameaças do Group-IB na internet.

A descoberta aconteceu em 8 de janeiro de 2021. A empresa verificou uma listagem de serviços de diretórios e acabou constatando a falha.

Os analistas de segurança do Group-IB acreditam que os dados se tornaram públicos após o servidor de diretório não ser desabilitado pelo governo brasileiro. O servidor de diretório é uma espécie de infraestrutura de informação que armazena e compartilha dados comuns em rede, geralmente usadas em grandes organizações ou órgãos públicos, que possuem vários computadores interligados em uma mesma teia.

Dados estavam em servidor de diretório do site do Ministério da Economia - Divulgação/Group-IB - Divulgação/Group-IB
Dados estavam em servidor de diretório do site do Ministério da Economia
Imagem: Divulgação/Group-IB

"Desabilitar a listagem de diretórios em um servidor web é uma precaução de segurança normal para evitar a exposição de informações confidenciais. No entanto, este não foi o caso. Qualquer pessoa na internet poderia acessar o conteúdo do servidor", escreveu a empresa no relatório.

O arquivo com as selfies estava zipado, além de ainda compor um script escrito em Python (software de programação) e uma ferramenta de código aberto. Os analistas deduzem que, pela última data de modificação, tudo acabou sendo carregado em novembro de 2021.

Já através de um script de crawler, que é um algoritmo para analisar o código de um site, verificou-se que o arquivo estava vinculado ao seguinte endereço: https://portaldeservicos.economia.gov.br/.

A suspeita da empresa é de que os dados tenham sido violados por terceiros que se aproveitaram de uma falha de cibersegurança do governo brasileiro, e não por funcionários públicos.

Uma troca de emails exposta no relatório mostra que o governo brasileiro respondeu ao alerta da empresa às 16h56 de 12 de janeiro de 2021 e retornou outra vez no mesmo dia, às 20h40, informando que o problema estaria resolvido. Os especialistas confirmaram que o arquivo aparentemente já estava fora do ar.

"Dadas todas as evidências acima, é justo supor que o servidor parece ter sido usado por um terceiro autorizado como uma área de teste enquanto eles coletavam informações pessoais confidenciais com intenção pouco clara, mas provavelmente maliciosa. No entanto, não está claro qual era o objetivo final da parte que coletou dados confidenciais", concluiu no relatório.

Brasil é reincidente neste tipo de caso

Não é a primeira vez que falhas de cibersegurança expõem os brasileiros. Uma das maiores registradas até agora ocorreu em agosto de 2021, quando foi revelado que 227 milhões de brasileiros tiveram algum tipo de dado confidencial vazado.

Na ocasião, o arquivo era vendido em fóruns anônimos por US$ 300.

De acordo com o Group-IB, os dados podem ser usados por criminosos para as seguintes práticas:

  • Roubo de identidade
  • Controle de conta
  • Extorsão
  • Ataques de Spear Phishing
  • Roubo de dinheiro

Já empresas e organizações de governo podem sofrer:

  • Perda financeira
  • Ação legal
  • Danos à reputação
  • Tempo de inatividade operacional
  • Custos de resposta e recuperação
  • Anúncios de divulgação se houver uma violação