Falha de configuração deixou dados de 120 milhões de brasileiros expostos, diz empresa

Um relatório da empresa de segurança InfoArmor publicado esta semana afirma que um erro de configuração em um servidor deixou exposto um banco de dados contendo dados associados a 120 milhões de números do Cadastro de Pessoa Física (CPF) do Brasil. Além dos números únicos de CPF, o arquivo também tinha informações pessoais — como nome completo, endereço, e-mail e telefone —, dados financeiros (contas, crédito e outros) e informações eleitorais.

O pacote com mais de 95 GB de dados foi encontrado em março de 2018. No mês seguinte, a InfoArmor começou uma busca pelos responsáveis pelo servidor que armazenava os dados, que não foram localizados. A companhia entrou em contato com o provedor de hospedagem onde o servidor estava abrigado e recebeu uma resposta afirmando que o cliente seria alertado.

Os dados foram retirados do ar próximo ao fim de abril. Em seu lugar, o servidor passou a redirecionar os acessos ao site "AlibabaConsultas". Não se sabe se o site tem qualquer relação com o servidor encontrado pela InfoArmor. Nesta sexta-feira (14), o AlibabaConsultas estava fora do ar. O registro do site foi feito por meio de um serviço de privacidade, que esconde os dados de contato dos responsáveis. Arquivo renomeado deixou pasta exposta

Os arquivos contendo informações associadas ao CPF estavam em uma pasta que ficou simplesmente exposta. Não era preciso explorar nenhuma vulnerabilidade ou quebrar uma senha para ter acesso: bastava acessar o endereço IP correto para ver os arquivos listados. Isso era possível porque o servidor que armazenava os dados tinha um erro de configuração.

    Em migração para a nuvem, empresas cometem erros que podem expor informações, diz estudo

Servidores web normalmente enviam um "arquivo padrão" quando alguém tenta acessar um endereço sem especificar um arquivo. Quando não há um arquivo padrão, o servidor pode ser configurado para exibir um erro (que é a configuração segura) ou a lista de arquivos. Por erro, alguém trocou o nome do arquivo "index.html" para " index.html_bkp". Como o "index.html" é normalmente o arquivo padrão, e ele precisa ter exatamente este nome, o servidor não conseguia mais encontrar o arquivo — já que ele estava com um nome diferente — e sua configuração mandava listar o conteúdo da pasta. Logo, a configuração menos segura, junto do arquivo renomeado, foi a "receita" para o vazamento.

"Com a corrida maluca rumo à serviços em nuvem compartilhados, estamos vendo uma tremenda quantidade de dados vazamentos que é potencialmente dez vezes maior do que as atividades de atacantes", afirmou Christian Lees, diretor de inteligência da InfoArmor.

A InfoArmor lembra que os dados vazados do Yahoo demoraram mais de um ano para apareceram no submundo da internet. A empresa afirmou que estará monitorando esses canais para verificar se as informações dos CPFs também será compartilhada entre criminosos.