Na última segunda-feira, a empresa norte-americana de segurança da informação InfoArmor divulgou um relatório em que detalha como o CPF e outros dados pessoais de brasileiros ficaram expostos na internet em um servidor ao alcance de qualquer um. A vulnerabilidade, encontrada em março deste ano, ocorreu por conta de um erro de configuração. E o lado mais obscuro dessa história é que não foi possível identificar qual empresa ou órgão público era o dono das informações.
Christian Lees, Chief Information Security Officer da InfoArmor, conta que o problema foi identificado em uma varredura de rotina da empresa, que alia automação e analistas humanos para identificar máquinas desprotegidas e ameaças na rede. Por conta de um arquivo nomeado de forma errada, o acesso ao conteúdo do servidor não era restrito aos administradores, o cenário correto.
Videos by VICE
Casos como esse não são raros. Na verdade, explica Christian, conforme o uso de servidores na nuvem aumenta, eles têm se tornado mais comuns.
“Isso acontece muito, mas muito mesmo, só que nem sempre as informações envolvidas são dados pessoais, por isso tem um impacto menor”, diz Fernando Mercês, pesquisador de ameaças da Trend Micro no Brasil.
Não havia qualquer identificação no servidor e durante dias a InfoArmor, sediada no Arizona, nos EUA, tentou achar o dono das informações – sem sucesso. Em abril, tentou notificar a empresa que hospedava o arquivo. Foi mais um tempo até que conseguissem e, ainda assim, os dados continuaram no ar por semanas.
Em resumo, mesmo com a tentativa de resolver o problema, as informações de 120 milhões de brasileiros ficaram expostos por meses. Expostos em termos, claro. Seria preciso algum conhecimento técnico para encontrar esse material, mas essa é a raiz de grandes vazamentos de dados pelo mundo.
Para Mercês, a dificuldade de informar o caso é sintomática de como empresas brasileiras lidam com a segurança da informação. “Requer uma maturidade que não tem por aqui. Já ouvi empresas que recebem notificação e simplesmente não respondem por não saberem o que fazer com aquilo”, diz. “Em outros, respondem negativamente, ameaçam processar.”
Não é exclusividade local. “O mundo poderia colocar mais foco em metodologias de notificar vulnerabilidades com responsabilidade”, afirma Christian. “Eu passo uma parte considerável do meu tempo falando com empresas sobre isso e pode ser muito cansativo e gastoso.”
O que ficou exposto
No servidor vulnerável havia uma série de informações vinculadas aos 120 milhões de CPFs. A lista é um pouco assustadora. Nome completo, data de nascimento, e-mails, telefones, contatos de família, registros de votação, cadastros empregatícios, dados sobre contratos (a InfoArmor não especificou quais), histórico bancário e listas de empréstimo.
A partir de um IP exibido no relatório, Fernando explica que os arquivos eram hospedado na Alemanha. Não há qualquer problema em uma empresa privada utilizar serviços como esse fora do país. O problema, no caso, é ela ter acesso a todo esse rol de dados. Em tese nenhum órgão governamental deveria fazer isso.
Os dois print publicados no estudo da empresa dos EUA são interessantes. Um deles traz uma série de pastas no página inicial do servidor, e o segundo o conteúdo de uma dessas pastas, chamada de aero_20180322. São bancos de com nomes como dados_emprestimos, dados_enderecos, dados_militares etc.
“Estava aberto para o mundo”, diz Christian. “Sem qualquer limitação.”
De volta ao primeiro print, as pastas tem alguns nomes interessantes, particularmente inss_20180322 e siapi_20180322. INSS, claro, é uma referência ao regime de previdência. SIAPE, por sua vez, é o Sistema Integrado de Administração de Pessoa, uma ferramenta utilizada para gestão de pagamentos do funcionalismo público federal.
Há uma modalidade de empréstimo consignado, por exemplo, que só é oferecido para servidores federais – conhecido como Empréstimo SIAPE.
De qualquer forma, por enquanto a origem dos dados expostos continua o mistério. No entanto, o caso só ressalta a importância da Lei Geral de Proteção de Dados (LGPD), aprovada este ano e que entra em vigor em 2020. De acordo com a LGPD, vazamentos de dados resultarão em multa de 2% do faturamento da empresa, até o limite de R$ 50 milhões.
“Trabalho há muitos anos nessa área e todos os sistemas lidam com algum tipo de informação confidencial. Esse assunto, de proteção de dados, nunca foi discutido”, diz Fernando. “Tudo que é discutido é disponibilidade, desempenho. Mas segurança, confidencialidade e integridade de dados nunca foi o forte no Brasil. Agora esse assunto está causando um impacto, mas é difícil mudar uma cultura com uma lei”, explica.
Vale lembrar que o presidente Michel Temer vetou o ponto da LGPD que criaria a Autoridade Nacional de Proteção de Dados, órgão que seria responsável por fiscalizar a regulamentação. Ou seja, a espada já existe. Só falta alguém para segurá-la.
Leia mais matérias de ciência e tecnologia no canal Motherboard .
Siga o Motherboard Brasil no Facebook e no Twitter .
Siga a VICE Brasil no Facebook , Twitter e Instagram .