Um servidor web Apache descoberto em março deste ano estava vazando 120 milhões de números CPF (Cadastro de Pessoas Físicas) de brasileiros. Segundo o Bleeping Computer, não está claro por quanto tempo esse servidor expôs os dados.
O servidor foi descoberto pela empresa InfoArmor, que explica: “um servidor web Apache retorna o conteúdo de um arquivo padrão chamado index.html quando está presente. Se um arquivo com esse nome não existir e as listagens de diretório estiverem ativadas, ele exibirá os arquivos e pastas contidos na pasta solicitada e permitirá o download dos usuários”.
Cada CPF exposto era vinculado a conta de banco, com dados de empréstimos, reembolsos, histórico de crédito e débito etc
Como afirma o Bleeping, os arquivos com dados pessoais variavam entre 27 megabytes e 82 gigabytes. Um deles, além de CPFs, armazenava informações pessoais, informações “militares”, números telefônicos, empréstimos nominais e endereços residenciais.
O InfoArmor ainda comentou que “cada CPF exposto era vinculado a conta de banco, com dados de empréstimos, reembolsos, histórico de crédito e débito, nome completo, e-mails, endereços residenciais, números de telefone, data de nascimento, contatos familiares, emprego, números de votos, números de contrato e registro de voto (…) Os dias que se seguiram à descoberta inicial, a equipe de pesquisa do InfoArmor tentou determinar quem era o proprietário do servidor para que ele pudesse ser notificado. Durante esse período, o InfoArmor observou que um dos arquivos, um arquivo de 82 GB, havia sido substituído por um arquivo .sql bruto de 25 GB, embora seu nome de arquivo permanecesse o mesmo”.
Felizmente, o servidor que deixava os dados abertos foi fechado no final de março pelo provedor. Consultado pelo Bleeping, o CEO da empresa de segurança High-Tech Bridge Ilia Kolochenko disse que “a questão principal aqui é como esses dados altamente confidenciais ficam online em um servidor terceirizado, em flagrante violação de todos os fundamentos possíveis de segurança, conformidade e privacidade? Quem mais tem acesso a esses dados e suas cópias? Uma investigação completa é necessária no governo brasileiro para determinar quem deve assumir a responsabilidade”.
Fonte: Portal New Trade