CPFs de 120 milhões de brasileiros estavam expostos na internet

1 518

Um servidor web Apache descoberto em março deste ano estava vazando 120 milhões de números CPF (Cadastro de Pessoas Físicas) de brasileiros. Segundo o Bleeping Computer, não está claro por quanto tempo esse servidor expôs os dados.

O servidor foi descoberto pela empresa InfoArmor, que explica: “um servidor web Apache retorna o conteúdo de um arquivo padrão chamado index.html quando está presente. Se um arquivo com esse nome não existir e as listagens de diretório estiverem ativadas, ele exibirá os arquivos e pastas contidos na pasta solicitada e permitirá o download dos usuários”.

Cada CPF exposto era vinculado a conta de banco, com dados de empréstimos, reembolsos, histórico de crédito e débito etc

Como afirma o Bleeping, os arquivos com dados pessoais variavam entre 27 megabytes e 82 gigabytes. Um deles, além de CPFs, armazenava informações pessoais, informações “militares”, números telefônicos, empréstimos nominais e endereços residenciais.

O InfoArmor ainda comentou que “cada CPF exposto era vinculado a conta de banco, com dados de empréstimos, reembolsos, histórico de crédito e débito, nome completo, e-mails, endereços residenciais, números de telefone, data de nascimento, contatos familiares, emprego, números de votos, números de contrato e registro de voto (…) Os dias que se seguiram à descoberta inicial, a equipe de pesquisa do InfoArmor tentou determinar quem era o proprietário do servidor para que ele pudesse ser notificado. Durante esse período, o InfoArmor observou que um dos arquivos, um arquivo de 82 GB, havia sido substituído por um arquivo .sql bruto de 25 GB, embora seu nome de arquivo permanecesse o mesmo”.

Felizmente, o servidor que deixava os dados abertos foi fechado no final de março pelo provedor. Consultado pelo Bleeping, o CEO da empresa de segurança High-Tech Bridge Ilia Kolochenko disse que “a questão principal aqui é como esses dados altamente confidenciais ficam online em um servidor terceirizado, em flagrante violação de todos os fundamentos possíveis de segurança, conformidade e privacidade? Quem mais tem acesso a esses dados e suas cópias? Uma investigação completa é necessária no governo brasileiro para determinar quem deve assumir a responsabilidade”.

 

Fonte Tecmundo
Notícias Relacionadas
1 comentário
  1. Daniel diz

    Cade a p. do link de download?

Deixe um comentário

Seu endereço de email não será publicado.