Com apenas os números do Renavam e placa do veículo é possível obter, sem qualquer conhecimento em programação, dados como modelo e foto do automóvel, nome completo e CPF do proprietário, e identificação do local da infração de todos os veículos multados no estado de Santa Catarina. A denúncia da falha de segurança no site do Detran/SC foi feita com exclusividade ao Olhar Digital nesta segunda (18). Para se ter uma ideia da dimensão de dados expostos, entre os anos de 2016 a 2021, segundo dados do Detran/SC, foram quase 10 milhões de infrações cometidas no estado por veículos brasileiros. Não se sabe ainda, entretanto, quantos motoristas foram atingidos pelo vazamento.

De acordo o site do órgão estadual, de 2016 a 2021, foram emitidas 9.752.286 multas de trânsito apenas no estado de Santa Catarina. Gráfico: Detran/SC

De acordo com o pesquisador em segurança da informação Cleórbete Santos, que descobriu a falha acidentalmente no sistema do Detran do estado sulista, para se ter acesso aos documentos basta alterar o número sequencial no endereço da página (URL). A partir disso, o sistema mostrará outras multas, de outras pessoas, com todos os dados pessoais, sem pedir nenhuma senha ou autenticação.

Apenas com alterações aleatórias na URL é possível encontrar documentos de infração de trânsito de motoristas multados em SC. Créditos: Cleórbete Santos

O documento abaixo, por exemplo, foi obtido sem necessidade de informar — novamente — Renavam e o número de placa do veículo. Após uma única consulta, o sistema permite acesso fácil a informações de outras pessoas.

Após informar apenas um número de Renavam e placa do automóvel, o sistema mostra, sem nenhum pedido de autenticação, documentos de outros automóveis. Créditos: Cleórbete Santos

Santos diz que a brecha pode ser facilmente aproveitada por cibercriminosos. “Com pouco mais de conhecimento, um robô pode ser usado para coletar todas essas informações e criar uma base de dados que poderá ser utilizada para o cometimento de crimes diversos”, alerta o pesquisador.

publicidade

Em nota enviada ao Olhar Digital nesta quarta (20), o órgão estadual afirma que “equipe técnica do Ciasc, responsável pela gestão do site do Detran/SC, identificou as inconsistências no sistema que expuseram a segurança do site e já realizou as correções necessárias. Importante salientar que não houve prejuízos aos cidadãos e ao Detran”.

Detran/RN já expôs dados pessoais de 70 milhões de brasileiros

Em 2019, o Olhar Digital reportou, com exclusividade, uma falha de segurança grave no sistema do Detran do Rio Grande do Norte. Há dois anos, a base de dados da unidade expôs dados pessoais de 70 milhões de brasileiros.

Por se tratar de um banco de dados de base nacional, era possível obter dados de qualquer pessoa, inclusive de figuras públicas como o presidente Jair Bolsonaro e seus filhos; Wesley Safadão, Xuxa, Neymar, Eike Batista, entre outros.

A denúncia foi manchete nos principais jornais e telejornais do país. Um dia depois, o órgão estadual confirmou a falha e disse que abriria um procedimento administrativo para investigar o caso.

**Atualizado em 20/01 com posicionamento do Detran/SC