15/12/2018 Falha grave: servidor vazou 120 milhões de CPFs e outros dados valiosos - Tecnologia - BOL Notícias

BATE-PAPO E-MAIL FOTOS NOTÍCIAS

Falha grave: servidor vazou 120 milhões de CPFs e outros dados valiosos
14/12/2018 16h31
Márcio Padrão
Do UOL, em São Paulo

Reprodução

Os dados eram acessíveis a qualquer pessoa que tivesse acesso ao endereço do banco de dados

Não é um segredo que os números dos nossos documentos de identificação, principalmente o RG e o CPF, estão circulando há anos no mercado, de
forma legal ou ilegal. Mas a descoberta da equipe da InfoArmor torna essa realidade muito assustadora. Segundo a empresa de segurança digital, 120
milhões de CPFs estavam comprometidos em um servidor de dados na internet.

A descoberta ocorreu em março, mas a empresa só informou o caso na terça-feira (11). A InfoArmor descobriu um servidor aberto durante uma de suas
varreduras regulares na internet para detectar máquinas comprometidas, criação de reputação de endereços IP e agentes de ameaça.

A empresa descobriu que alguém havia renomeado o arquivo "Index" do servidor para "index", revelando o conteúdo do diretório para qualquer pessoa
que conhecesse o nome do arquivo ou navegasse nele teria acesso irrestrito a todas as pastas e arquivos dentro, da forma mostrada abaixo.

Reprodução

A InfoArmor ressaltou que esta descoberta não foi um ataque hacker ou violação: a informação era livremente acessível a qualquer pessoa que tivesse
acesso ao endereço do banco de dados.

Os dados expostos no servidor continham ainda outras informações sensíveis sobre brasileiros ligadas a cada CPF exposto, como histórico de
empréstimos bancários, de débito e crédito, e também dados pessoais como nome completo, contatos de família e informações de empregadores.

"É muito provável que oponentes sofisticados reuniram esta informação. Demorou mais de um ano para os dados roubados do Yahoo serem
colocados à venda na dark web, e dados tão exclusivos quanto os disponíveis no servidor provavelmente estão entre os dados mais negociados na

https://noticias.bol.uol.com.br/ultimas-noticias/tecnologia/2018/12/14/falha-grave-servidor-vazou-120-milhoes-de-cpfs-e-outros-dados-valiosos.htm 1/2
15/12/2018 Falha grave: servidor vazou 120 milhões de CPFs e outros dados valiosos - Tecnologia - BOL Notícias
dark web", diz Christian Lees, chefe de segurança da informação da InfoArmor.

"Duas medidas de segurança simples poderiam ter impedido isso: não renomear o arquivo index.html principal ou proibir acesso através da
configuração do .htaccess. Nenhuma dessas medidas básicas de segurança cibernética estava em vigor", completou Lees.

Nos dias seguintes à descoberta inicial, a InfoArmor tentou determinar quem era o proprietário do servidor para avisá-lo da falha, com tentativas de
mensagens para emails reconhecidos como donos daquele banco de dados. Depois de uma série de alterações no conteúdo, só em meados de abril
todo o conjunto de dados foi protegido do acesso a estranhos.

A InfoArmor não descobriu as pessoas ou empresas responsáveis pela falha. Não há garantias se o conteúdio foi ou não acessado por terceiros nesse
período.

"O que foi originalmente mal configurado para ser acessível por endereço IP foi reconfigurado como um site funcional com um autenticado domínio
'alibabaconsultas.com' que redirecionou para seu painel de login [onde é requerido senha]. Embora o InfoArmor não possa ter certeza que
alibabaconsultas.com foi responsável por o vazamento, parece que eles estavam de alguma forma envolvidos, provavelmente na função de serviço de
hospedagem", argumentou o especialista.

A InfoArmor ainda comparou a falha ao vazamento ao dos dados de 143 milhões de americanos em 2017, quando hackers invadiram o sistema da
empresa de gestão de crédito Equifax. "Infelizmente, não é incomum que encontremos regularmente dados vazados em ambientes inseguros. Com
a louca corrida para compartilhar serviços de nuvem alugada, estamos vendo uma enorme quantidade de dados vazados que é potencialmente 10
vezes maior do que a atividade real do agente de ameaça", diz Christian Lees.

Recomendados para você

https://noticias.bol.uol.com.br/ultimas-noticias/tecnologia/2018/12/14/falha-grave-servidor-vazou-120-milhoes-de-cpfs-e-outros-dados-valiosos.htm 2/2