Até o dia 17 de dezembro, informações pessoais podiam ser consultadas sem senha no banco de dados da CheckMeuCarro. Foto: Pexels.
A CheckMeuCarro, empresa que vende relatórios sobre a situação de veículos emplacados no Brasil, deixou aberto um banco de dados com aproximadamente 191 milhões de registros de F (Cadastro de Pessoa Física) e outros 35 milhões de registros de CNPJ (Cadastro Nacional de Pessoa Jurídica).
A exposição foi divulgada pelo Blog de Altieres Rohr, no G1, que recebeu as informações de um especialista que pediu para não ser identificado.
As informações de pessoas físicas expostas incluíam nomes, endereços, telefones, renda, classe social, datas de nascimento, escolaridade e nome da mãe, porém nem todos os cadastros estavam completos.
O número total de registros foi obtido em consulta específica ao próprio servidor - nem o blog nem o pesquisador tentaram baixar o banco de dados completo.
Até o dia 17 de dezembro, as informações podiam ser consultadas sem senha, bastando ar um determinado endereço, mas não é possível saber desde quando os dados estavam disponíveis na web.
O servidor se tornou inível após o blog procurar a CheckMeuCarro. A empresa gere o que afirma ser “a maior base de veículos sinistrados do Brasil”. De acordo com a empresa, os “dados exclusivos” vêm de “diversas fontes públicas e privadas e empresas especializadas”. Os relatórios são comercializados na internet.
A CheckMeuCarro disse que o servidor onde estavam os dados vazados era usado para testes. “Apesar do IP ser público, ele não estava exposto em nenhuma aplicação nossa", comunicou, em nota, ao Blog de Altieres Rohr.
A empresa ainda afirmou que, apesar de ser um ambiente de testes, havia monitoramento em tempo real do tráfego e uma limitação dos os. E que não seria possível baixar todos os dados e eles também não estavam disponíveis para comercialização.
No entanto, o blog relata que dezenas de consultas idênticas foram feitas, ao longo de vários dias, antes de comunicar a empresa, mas nenhuma foi bloqueada.
A CheckMeuCarro disse ainda que, embora alguns dados fossem reais, a maioria não corresponde “a uma verdade absoluta".
A empresa informou "apenas trabalha com dados públicos e estimativas (inteligência de dados)", citando diversas fontes de dados (como listas de aprovados em concursos e ProUni, além de ocorrências policiais e processos na Justiça) como a origem das informações que relacionam nomes e números de F.
O blog reforma que a consulta feita retornou, em sua maioria, dados corretos, incluindo telefones, nomes e endereços. Outras informações não foram adas, de acordo com a publicação, em respeito à privacidade dos demais registros contidos no banco de dados.
TENDÊNCIA
O mercado brasileiro a por uma fase de intensas divulgações relativas a vazamentos e exposição de dados.
Em dezembro, a Tivit teve um o não autorizado a arquivos da companhia que resultou em um vazamento das credenciais de o de clientes como Braskem, Banco Original, Zurich, Votorantim, Sebrae, SAP, Brookfield Energia, entre outros.
No começo de 2019, uma publicação no site de compartilhamento de texto Pastebin apontou para uma nova divulgação relacionada ao vazamento de dados da Tivit, dessa vez com dados relacionados aos clientes Bradesco, CEF, Votorantim Energia, Tecnisa, Zurich, Faber, Banco Original, CIP, Klabin e Açominas.
Também em dezembro, foram publicados no Pastebin dados que teriam sido vazados do Sicredi. O arquivo apresentou o que seria uma pequena mostra do que os autores da publicação afirmam ser um vazamento de 1,2 TB de dados.
As informações publicadas incluem uma série de nomes com datas de abertura de contas, e, de forma mais preocupante, o que parecem ser registros de procedimentos realizados com clientes, com a rotina de aprovação de funcionários.
No mesmo mês, a Justiça homologou um acordo entre o Ministério Público do Distrito Federal e Territórios (MPDFT) e o Banco Inter para que a instituição bancária pague R$ 1,5 milhão como forma de reparar os danos morais coletivos de caráter nacional decorrentes do vazamento de dados de mais de 19 mil correntistas.
Desse valor, R$ 1 milhão será destinado a instituições públicas que combatem crimes cibernéticos, indicadas pelo MPDFT. O restante vai beneficiar instituições de caridade.
Em novembro, o MPDFT instaurou inquérito civil público para investigar um suposto incidente de segurança envolvendo o banco de dados da Federação das Indústrias do Estado de São Paulo (Fiesp).
Júlia Merker 563o2f
Repórter no Baguete Diário