Um total de 45.369.989 registros contendo dados de pessoas esteve exposto na Internet e foi descoberto por um usuário de um fórum na dark web. Chamado UndefinedBrazil, o usuário publicou informações sobre o assunto com um post nesse fórum, na madrugada de ontem. Intitulado “Vazamento de 71 Milhões de fotos de brasileiros”, o post alega ser “denúncia sobre uma falha crítica no sistema do governo de São Paulo” e indica haver também 70.928.207 fotos de cidadãos expostas no servidor.
Leia também
Brasileiros utilizam 480 milhões de dispositivos
Trojan brasileiro ataca usuários na Itália
O texto é complementado com quatro links, sendo três para um portal de exibição de imagens: um deles conduz a uma foto e cada um dos outros a uma tela de uma ferramenta de gerenciamento de banco de dados. Uma tela mostra, numa tabela, os dados das colunas identificadas como cpf, rg, data_criacao, origem e foto_base64. A outra tela mostra os dados nas colunas id, cpf, rg, rg_dc, rg_sequencia, rg_uf, situacao_documento, nome e nome_mae.
O quarto link é para um portal que armazena um arquivo Zip (compactado) contendo dois arquivos compactados: um de fotos, com 29MB, e um em formato CSV com 317,3KB. O primeiro contém uma tabela de dados com 259 linhas nas colunas cpf, rg, data_criacao, origem e foto_base64. A coluna foto_base64 contém fotos cujos bits foram codificados em texto ASCII. O segundo contém uma amostra de tabela, com 1001 linhas e 35 colunas, contendo dados pessoais de cidadãos.
Em mensagem ao CISO Advisor, o autor do post explicou:
“O que ocorre é o seguinte: No início de dezembro, enquanto testava algumas vulnerabilidades no sistema da Polícia Civil de São Paulo, encontrei um endpoint exposto que, por razões de segurança, não posso compartilhar agora para evitar vazamentos.O problema é que esse endpoint exibe, em tempo real, todas as pessoas que estão emitindo RG e CNH. Por exemplo, se Dona Maria acabou de solicitar seu RG, os dados já aparecem no sistema no exato momento em que o agente os insere. Essas informações estão publicamente acessíveis, o que abre margem para golpes contra quem acabou de emitir documentos.Se pessoas mal-intencionadas explorarem ainda mais essa falha, a Polícia Civil enfrentará sérios problemas, pois o sistema de login dos agentes não possui segurança reforçada. Cibercriminosos podem acessar fotos e dados de todos os cidadãos que emitiram CNH ou RG em São Paulo. O acesso depende apenas de um usuário e senha, e como há vazamentos frequentes de credenciais, qualquer um pode baixar listas e invadir contas de agentes governamentais.O ideal seria implementar um sistema de autenticação mais seguro, como certificados digitais ou restrição de acesso apenas a IPs autorizados, pois, no momento, qualquer pessoa pode acessar esses dados.Já tentei contatar o CTIR sobre essa falha em São Paulo, inclusive mencionando os endpoints expostos, mas não obtive resposta, mesmo após quatro tentativas de contato.Gostaria de deixar claro que não estou prejudicando ninguém. Outras pessoas já exploraram essa falha e vazaram 1,6 milhão de fotos de cidadãos paulistas. Investiguei o caso e identifiquei um dos responsáveis. Meu único objetivo é impedir que mais indivíduos com intenções criminosas façam o mesmo“.
A nomenclatura e os dados contidos são compatíveis com dados e metadados em documentos de identificação de cidadãos. No post, o autor diz:
“Olá, sou UndefinedBrazil e hoje trago uma denúncia sobre uma falha crítica no sistema do governo de São Paulo. Há dois meses venho tentando reportar esse problema às autoridades, mas infelizmente não obtive a colaboração necessária para que a falha fosse corrigida. Essa vulnerabilidade permite a extração massiva de fotos, dados físicos e informativos de aproximadamente 45 milhões de cidadãos paulistas, ou seja, toda a população do estado de São Paulo. Para comprovar a gravidade do problema, realizei uma extração em massa e apresentei as evidências ao governo, demonstrando que qualquer pessoa com conhecimento técnico poderia explorar essa falha da mesma forma. Estou disposto a dialogar com representantes do governo para ajudar a solucionar essa vulnerabilidade o quanto antes. Meu objetivo não é prejudicar ninguém, mas garantir que os dados da população estejam seguros. Caso alguém queira entrar em contato para mais informações, meus contatos estão disponíveis logo abaixo das amostras que comprovam a falha“.
