Ignorância, falta de cuidado ou esquecimento permitiram que um servidor brasileiro deixasse expostos 102 gigabytes de dados em oito arquivos compactados. Um desses arquivos contém os CPFs de 102 milhões de pessoas. A descoberta foi anunciada ontem pela empresa de segurança norte-americana InfoArmor, que constantemente pesquisa a internet localizando servidores com problemas.
Um exame rápido mostrou que alguém havia renomeado o arquivo “index.html” para “index.html_bkp”. Sem uma página default para exibir, o servidor passou a entregar o diretório inteiro a qualquer pessoa que apontasse seu browser para aquele endereço. Os links na tela capturada pela empresa mostram os arquivos do banco de dados abertos e disponíveis para download. Pela tela de um dos bancos de dados verificados pela empresa pode-se ver a quantidade de informações disponíveis.
A descoberta foi feita em março deste ano. É possível que somente nas últimas semanas o problema tenha sido solucionado, permitindo então a publicação do relatório.
Christian Lees, diretor de inteligência da InfoArmor, observa que este não é um caso de invasão mas de exposição: “Com a corrida louca paracompartilhar serviços de nuvem, estamos vendo uma quantidade enorme de dados vazados, o que é potencialmente dez vezes pior do que a atividade real de um agente de ameaças”. Ele relembra que o CPF é um número que todos os cidadãos utilizam para praticamente tudo no Brasil. “Infelizmente”, diz ele, “não é raro a equipe de pesquisa do InfoArmor encontrar dados vazados em Buckets S3 e servidores mal configurados, revelando publicamente informações destinadas a serem privadas”.
