Em 19 de março, relatamos uma falha em um site do antigo Ministério do Trabalho (MTE) que dava acesso a dados de cidadãos brasileiros. O site vulnerável foi tirado do ar após a apuração do Tecnoblog, mas o estrago já estava feito. Pelo menos é o que indica um arquivo com 9 milhões de registros que foi encontrado para download em um fórum.
O problema foi revelado ao Tecnoblog por um especialista em segurança que se identifica como Andrey. Ele descobriu que o endereço do Juventude Web, um sistema antigo que era mantido pelo MTE, informava, sem exigir autenticação, os seguintes dados quando uma requisição específica era acompanhada de um número de CPF:
- CPF;
- Nome completo;
- Data de nascimento;
- Rua;
- Número da residência;
- Complemento;
- Bairro;
- CEP;
- Munícipio;
- Estado;
- Nome da mãe.
Nesta semana, Andrey entrou em contato novamente com o Tecnoblog para avisar que uma base de dados aparentemente extraída da API usada no Juventude Web estava disponível para download em um fórum. De fato, os registros do arquivo batem com os campos do banco de dados do MTE.
Inicialmente, o responsável pela captura dos dados tentou vender a base no mesmo fórum por US$ 100, com o pagamento podendo ser feito por Bitcoin, Ethereum ou outra criptomoeda.
Na página, ele informou que o arquivo foi extraído do Ministério do Trabalho (órgão que, em 2019, foi convertido em Secretaria do Trabalho do Ministério da Economia) e disponibilizou para download uma amostra com 50 mil registros oriundos da base.
Aparentemente, não houve interessados. Isso porque, dias depois, a base de dados completa, com cerca de 1,3 GB de tamanho, foi colocada para download no mesmo fórum, mas sem a cobrança de US$ 100.
O arquivo completo contém mais de 9 milhões de registros de pessoas físicas. Esse número não corresponde a toda a base de dados, porém. Os CPFs que testamos na semana passada para verificar a falha no Juventude Web, por exemplo, não aparecem no arquivo.
Mas isso não diminui a gravidade do problema. De acordo com Andrey, é provável que o autor tenha usado Python para explorar a API defeituosa, coletar as informações e armazená-las em uma banco de dados, o que sugere que outros invasores podem ter feito o mesmo procedimento em diferentes ocasiões.
Outro aspecto que reforça essa possibilidade é o fato de scripts que exploravam a vulnerabilidade terem sido encontrados por Andrey em repositórios online.
Site vulnerável foi desativado
Questionado pelo Tecnoblog na semana passada sobre o problema, a Secretaria de Políticas Públicas para o Emprego da Secretaria Especial de Produtividade, Emprego e Competitividade do Ministério da Economia (SPPE/SEPEC/ME) informou que o site vulnerável foi retirado do ar logo após o órgão tomar conhecimento do problema.
De fato, o Juventude Web não está mais online e, portanto, o banco de dados não pode mais ser acessado por meio da vulnerabilidade.
O problema é que, como o site problemático funcionou por bastante tempo — a primeira versão do Juventude Web remete a 2009 —, não são pequenas as chances de a falha ter sido explorada por meses ou até anos.
Entramos em contato com a SPPE/SEPEC/ME nesta sexta-feira, mas, até a publicação deste texto, nenhuma declaração havia sido fornecida pela entidade.
LGPD para órgãos públicos
A Lei Geral de Proteção de Dados Pessoais (LGPD) não é válida somente para empresas do setor privado. Órgãos governamentais também estão sujeitos a sanções em caso de exposição de informações pessoais.
É função da Autoridade Nacional de Proteção de Dados (ANPD) analisar cada caso e decidir pela punição. Por padrão, órgãos públicos ficam sujeitos a advertências e sanções administrativas, enquanto empresas privadas podem ser multadas em até 2% sobre o faturamento anual, limitado a R$ 50 milhões.
No entanto, punições só podem ser aplicadas a partir de agosto de 2021.