O portal Passe Livre da ANTT (Agência Nacional de Transportes Terrestres), vinculado ao Ministério da Infraestrutura, expôs por tempo indeterminado os dados sensíveis de cerca de um milhão de brasileiros com deficiência inscritos no programa federal.
Segundo a ANTT, o Passe Livre é um programa que garante o acesso gratuito ao transporte coletivo interestadual por rodovia, ferrovia e barco a pessoas com deficiência e comprovadamente carentes.
O programa é destinado a pessoas com deficiência física, mental, auditiva, visual, múltipla, com ostomia ou doença renal crônica e de baixa renda.
A Agência afirma que possui 200 mil pessoas credenciadas, mas que poderia atingir cerca de 2,5 milhões de brasileiros.
Entretanto, um vazamento identificado na quarta-feira (12) indicou que o portal Passe Livre armazenava os dados de cerca de um milhão de pessoas.
Com identificador único no arquivo, é possível rastrear cerca de 930 mil.
O pesquisador de segurança "Taifeyb" alertou ao TecMundo que as informações eram facilmente acessadas por qualquer cidadão que se cadastrasse no portal de empresas do Passe Livre Interestadual (mesmo com dados fictícios na inscrição).
Ao checar o arquivo aberto ao público, foi possível encontrar informações como nome completo do requerente, telefone residencial (ou celular), número de documento (RG), parcial do CPF, data de nascimento, sexo, número de credencial (identificador pessoal), data de validade, número do Passe Livre, número do processo, situação do requerente, abreviação do requerente, fotos do requerente, documento SGL UF e nome completo e dados do acompanhante.
"Dado o grande volume de informações sensíveis contidas neste arquivo, é imperativo que medidas imediatas sejam tomadas para protegê-lo e garantir a privacidade e segurança das pessoas envolvidas.
As informações contidas neste arquivo estão vulneráveis a ataques cibernéticos e qualquer acesso não autorizado pode ter sérias consequências para as pessoas envolvidas", notou Taifeyb.
Após contato do TecMundo, a ANTT corrigiu a vulnerabilidade e informou que o incidente está sendo apurado.
A Agência também antecipou que está em desenvolvimento um novo sistema do Passe Livre que garantirá maior navegabilidade e segurança aos solicitantes do benefício.
Esse novo mecanismo será lançado em breve.
A obtenção dos dados foi realizada após o cadastro simples em dois domínios de consulta do Passe Livre, de acordo com a fonte.
Dentro do sistema, no item "Acesso Offline", existe um programa em Java com todos os arquivos supostamente criptografados.
A chave para liberação da criptografia estava presente no mesmo ambiente.
O problema é que a chave criptográfica para a liberação dos arquivos podia ser visualizada no código Java do próprio programa.
"Utilizei os dados fictícios 01234567890 e 1234 para fazer login e tive acesso ao portal, onde pude consultar qualquer um dos protocolos e obter a foto das pessoas", explicou o pesquisador.
Um dos principais pontos que envolve o fácil acesso para informações pessoais é o cibercrime.
No caso, dados precisos como esses podem gerar golpes de spear-phishing.
O phishing direcionado permite que cibercriminosos criem mensagens falsas mais precisas e próximas da realidade de um alvo.
Dessa maneira, a vítima fica mais suscetível a clicar em um link malicioso ou acabar enviando informações bancárias, por exemplo.
Outro problema envolve a personificação.
Cibercriminosos ganham a capacidade de abrir contas digitais diversas com esses dados, como contas laranjas para a realização de outros golpes.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...