CPFs de 120 milhões de brasileiros estavam expostos na internet

Um servidor web Apache descoberto em março deste ano estava vazando 120 milhões de números CPF (Cadastro de Pessoas Físicas) de brasileiros. Segundo o Bleeping Computer, não está claro por quanto tempo esse servidor expôs os dados.

O servidor foi descoberto pela empresa InfoArmor, que explica: “um servidor web Apache retorna o conteúdo de um arquivo padrão chamado index.html quando está presente. Se um arquivo com esse nome não existir e as listagens de diretório estiverem ativadas, ele exibirá os arquivos e pastas contidos na pasta solicitada e permitirá o download dos usuários”.

Cada CPF exposto era vinculado a conta de banco, com dados de empréstimos, reembolsos, histórico de crédito e débito etc

Como afirma o Bleeping, os arquivos com dados pessoais variavam entre 27 megabytes e 82 gigabytes. Um deles, além de CPFs, armazenava informações pessoais, informações “militares”, números telefônicos, empréstimos nominais e endereços residenciais.

O InfoArmor ainda comentou que “cada CPF exposto era vinculado a conta de banco, com dados de empréstimos, reembolsos, histórico de crédito e débito, nome completo, e-mails, endereços residenciais, números de telefone, data de nascimento, contatos familiares, emprego, números de votos, números de contrato e registro de voto (…) Os dias que se seguiram à descoberta inicial, a equipe de pesquisa do InfoArmor tentou determinar quem era o proprietário do servidor para que ele pudesse ser notificado. Durante esse período, o InfoArmor observou que um dos arquivos, um arquivo de 82 GB, havia sido substituído por um arquivo .sql bruto de 25 GB, embora seu nome de arquivo permanecesse o mesmo”.

Felizmente, o servidor que deixava os dados abertos foi fechado no final de março pelo provedor. Consultado pelo Bleeping, o CEO da empresa de segurança High-Tech Bridge Ilia Kolochenko disse que “a questão principal aqui é como esses dados altamente confidenciais ficam online em um servidor terceirizado, em flagrante violação de todos os fundamentos possíveis de segurança, conformidade e privacidade? Quem mais tem acesso a esses dados e suas cópias? Uma investigação completa é necessária no governo brasileiro para determinar quem deve assumir a responsabilidade”.