Os três poderes constituídos do Brasil têm um total aproximado de 90.800 sites expondo na internet diretórios, documentos, aplicativos e dados que deveriam estar ocultos e protegidos. Resultado de instalações mal feitas, mas de fácil resolução, eles pertencem a prefeituras, secretarias, tribunais, câmaras, assembleias legislativas e outras organizações, e permitiram, com essa falha, que o conteúdo desses diretórios fosse inclusive indexado pelos mecanismos de busca.
A revelação foi feita ao CISO Advisor por um pesquisador de segurança que prefere não se identificar, e que decidiu olhar o assunto por meio de uma simples pesquisa no Google. Na semana passada, um pesquisador chamado Jonathan Fonseca localizou uma dessas falhas num dos domínios da Secretaria de Saúde do governo de Goiás. A falha expunha documentos internos, alguns contendo dados de pessoas. Segundo ele, ela está num site que tem aparência de “backup” do site oficial, e seus diretórios estão também indexados pelo Google.
Veja isso
Precariedade e risco desafiam especialistas de TI do governo
Desfiguração em massa pega sp.gov.br
Só a listagem dos domínios “gov.br” soma 81.500 endereços com essa falha. Em “leg.br” os endereços são 1.420 em “jus.br” 7.880. Descontando-se os totais atribuíveis aos domínios estaduais, é possível que os domínios de responsabilidade do executivo federal (.gov.br) sejam 6.743.
Há muito material que pertence aos sites de prefeituras, por exemplo, e que está ali justamente para publicação no site. Mas há também documentos internos como mapas de férias de funcionários públicos, detalhes de projetos e informações de identificação pessoal que não poderiam estar expostas.
Muitos desses diretórios são de ftp (file transfer protocol), contendo aplicativos e dados de uso de equipes de suporte de informática. São aplicativos e dados para instalação de estações de trabalho, por exemplo – incluindo certificados que permitem o uso de VPNs e conexões seguras entre estações de trabalho e redes privadas desses organismos. A pesquisa mostrou diretórios abertos numa secretaria de segurança pública do centro-oeste e num tribunal regional do Sul.
Num ranking dos domínios que mais expõem diretórios, os três estados campeões são Rio Grande do Sul (rs.gov.br) com 11.100 diretórios expostos, depois São Paulo (sp.gov.br), com 10.300, e em terceiro o Paraná (pr.gov.br), com 9.510. Os três últimos colocados – com menos diretórios expostos – são Distrito Federal (508), Tocantins (467) e Roraima (apenas 55).
