Falta de travas simples expôs dados usados contra Moraes: 'Inadmissível'
A Polícia Federal apura exposição de dados pessoais de delegados e do ministro Alexandre de Moraes. Segundo reportagem do UOL, dados internos foram acessados por terceiros que, por sua vez, ameaçavam servidores públicos.
De acordo com especialistas ouvidos por Tilt, o acesso indiscriminado a essas informações poderia ser evitado com medidas de segurança, como "travas para consultas" e revisão de privilégios.
O que aconteceu
A suspensão do X no Brasil teve como base uma investigação sobre vazamento de dados de delegados da Polícia Federal, do ministro Alexandre de Moraes e de um empresário. A ideia era expor essas pessoas na internet.
Os dados foram acessados do Infoseg (Informações de Segurança), um sistema integrado de bancos de dados públicos. Lá, é possível acessar processos judiciais, além de informações pessoais, como endereço, telefone de contato, registros de arma e de veículos.
Os registros mostram acesso indiscriminado de alguns usuários a esse sistema. Um usuário de um juiz do TJ-SP fez 4.122 consultas em um dia. Um policial militar de Goiás fez 17.792 consultas em um mês.
A possibilidade de um único login realizar milhares de consultas em um curto espaço de tempo, sem detecção, revela uma cultura de segurança passiva. Isso é inadmissível num contexto de um sistema que lida com informações sensíveis, incluindo dados de figuras públicas
Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética)
Hiago explica que a falta de limite de acesso facilita a realização de webscrapping - a atividade de coletar (ou "raspar", no linguajar técnico) dados de forma automatizada. Desenvolvedores conseguem fazer um "robô" que navega numa página e vai copiando as informações. Um alto número de consultas costuma significar que alguém está coletando dados. "Isso reflete um cenário alarmante de fragilidade, onde medidas básicas de segurança, como limitação de acessos, autenticação multifator e monitoramento em tempo real, parecem ter sido negligenciadas".
Durante lançamento da campanha "Tem cara de golpe", da ABBC (Associação Brasileira de Bancos), o delegado Carlos Afonso Gonçalves, da divisão de crimes cibernéticos do Deic-SP, ressaltou a importância de fazer trabalho de prevenção.
Ainda que citasse empresas (e não órgãos públicos), ele comentou sobre a importância de "escalonar serviços por usuário" e do monitoramento no caso de funcionários que lidam com informações sensíveis. "Tem operador de telemarketing que entrava numa empresa apenas para aprender o 'script' de atendimento para depois levar para uma falsa central telefônica para aplicação de golpes", disse.
"Usos atípicos, como milhares de consultas, deveriam gerar alertas automáticos, e, em casos mais graves, causar um bloqueio automático de login até uma revisão de segurança", afirma Hiago.
Por fim, outra medida sugerida pelo presidente da Abraseci, é a "revisão de privilégios" ao sistema. "Servidores públicos com diferentes funções - como policiais rodoviários e guardas municipais, por exemplo - não deveriam ter acesso irrestrito aos mesmos dados. O controle granular é fundamental para evitar que uma única conta tenha acesso a uma gama de informações muito ampla".
8 comentários
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Leia as Regras de Uso do UOL.
Lourival Andrade Nascimento
Peraí, Uol. Vocês não deram uma linhazinha de comentário quando o Ministro Alexandre mandou o então Twitter derrubar perfis e postagens SEM documentos oficiais que justificassem os atos, e pra piorar, coagiu funcionários da plataforma ameaçando-os de prisão, caso divulgassem o seu nome. Isso sem falar em elucubrações para " mandar jagunços pegar esse cara - o Allan dos Santos - e enfiá-lo em avião brasileiro ", em bom Português, um sequestro, nas ordens do Juiz do Gabinete do Ministro para o pessoal usasse a " criatividade " para elaborar relatórios, que por " criativos ", ilegais e inconcebíveis em uma DEMOCRACIA digna do termo. A História é pródiga em mostrar que o que começa mal não corre perigo de terminar bem. E esse " terminar bem ", é no sentido claro de que todo o Processo tem vício na origem, vícios no meio e sem perspectiva de final justo segundo a Constituição Federal que todos juraram defender.
Daniel Oliveira
Queremos anistia para o Xandão para ele continuar perseguindo e prendendo mesmo com laudos falsos os políticos da direita !!
Hélio Daniel Beluco
Quem não deve, não teme. Simples.