Dados de brasileiros estão expostos e possuem fácil acesso por meio da ferramenta online mais usada no mundo: o Google. Especificamente, estamos falando de informações como nome completo, CPF, data de nascimento, endereço residencial, memorandos, documentos internos e confidenciais abertos em sites de instituições como a Universidade de São Paulo (USP), Universidade Federal do Rio de Janeiro (UFRJ), Caixa Econômica Federal, Sistema Único de Saúde (SUS), Sefaz e outros.
Completa despreparação e descaso com a segurança digital nacional
A descoberta foi realizada pelo pesquisador de segurança Pedro Antônio, conhecido virtualmente como "Pedr4uz", que não precisou invadir qualquer sistema para encontrar essas informações: estava tudo aberto e indexado no Google. Esta técnica de busca por dados expostos, falhas ou vulnerabilidades é conhecida como Google Hacking.
Segundo Pedr4uz, além das informações privadas de membros de tais instituições e bancos de dados largados na internet, diversos de arquivos Word, PowerPoint & PDF internos das instituições citadas apresentavam credenciais de acesso (usuários, emails e senhas) em texto plano. Isso significa praticamente que qualquer pessoa poderia acessar informações sensíveis dos sistemas via Google. Elas estavam e ainda estão lá, prontas para serem usadas em invasões. “Por vezes, encontrei credenciais de acesso com os mais altos privilégios, como os de administrador”, afirma o pesquisador.
Prova
Descaso nacional
“Como se não bastassem informações disponíveis a rodo, suficientes para uso em inúmeras fraudes digitais, a quantidade de credenciais de acesso (inclusive administrador) expostas devido a completa despreparação e descaso com a segurança digital nacional, expõe centenas de servidores web, em posse do governo federal, a completo domínio de cibercriminosos especializados”, adiciona ao TecMundo.
Qualquer mínima brecha de segurança, se torna um livre acesso nas mãos de um cibercriminoso experiente
E não foram informações pessoais os únicos problemas encontrados. Pedro Antônio também encontrou algumas vulnerabilidades como Remote File Inclusion, Local File Inclusion, Remote Code Execution, Directory Transversal, Directory Listing e até mesmo senhas de FTP & API privadas do Datasus, completamente abertas no Google.
Ao TecMundo, ele adiciona: “é indispensável a ressalva de que, qualquer mínima brecha de segurança, se torna um livre acesso nas mãos de um cibercriminoso experiente”, sobre como dados julgados até como públicos — CPF, no caso — pode tornar mais fácil a vida de qualquer internauta ligado ao crime.
Prova
Google Hacking
“Não obstante, o descaso é tal que não há necessidade nem ao mesmo de conhecimento especializado, é trivial ao ponto de ser entregue de bandeja a qualquer um que fizer as perguntas corretas ao Google”, finaliza o pesquisador.
O Google Hacking não exige um conhecimento técnico alto nem qualquer tipo de invasão ao sistema. Dados como esses, abertos para acesso e nas mãos de qualquer pessoa, mostra como ainda falta muito trabalho para alcançarmos um nível de cibersegurança robusta nas grandes instituições brasileiras. Vale notar que as empresas e instituições citadas na matéria são apenas algumas que o pesquisador encontrou: o número é alarmante, seria uma tarefa impossível compilar quantas empresas estão expondo dados de seus leitores, usuários, clientes, pacientes e até assinantes.
Como fazer denúncias ao TecMundo
O TecMundo apoia o trabalho de hackers éticos. Denúncias podem ser feitas nos seguintes canais:
Categorias