Uma falha no servidor do Ministério da Economia expôs os dados de mais de 20 mil brasileiros. O problema de cibersegurança foi descoberto em janeiro de 2021 e foi apontado em um relatório de inteligência e ameaça do Group-IB, uma empresa de cibersegurança que tem parceria com órgãos de investigação, como a Interpol.  

As informações vazadas mostravam selfies de diversos brasileiros segurando o seu RG ou carteira de habilitação. Este tipo de foto é utilizada para comprovação da identidade de usuários que tentam realizar os cadastros em sites.  

Leia também!

A empresa avisou o governo federal sobre o problema e os dados foram retirados do ar na época. No entanto, acredita-se que as informações ficaram expostas por pelo menos dois meses e ainda não se sabe se o vazamento foi resultado de violação ou ação proposital.  

publicidade

O Ministério da Economia afirmou “que municiou as investigações da Polícia Federal sobre o ataque cibernético e criminoso, no começo deste ano, contra empresa contratada por licitação para atender a chamados feitos ao órgão”. 

A pasta ainda relatou que entrou em contato com outros órgãos competentes na época para que eles tomassem medidas adequadas de verificação. Além disso, o Ministério da Economia informou que os resultados da investigação podem resultar em “sanções à empresa contratada”. 

Os analistas de segurança do Group-IB acreditam que o problema aconteceu pela não desativação do servidor de diretório – uma infraestrutura de informação que armazena e compartilha dados comuns em rede.  

Dados vazados do Ministério da Economia
Imagem: Reprodução/Group-IB

“Desabilitar a listagem de diretórios em um servidor web é uma precaução de segurança normal para evitar a exposição de informações confidenciais. No entanto, este não foi o caso. Qualquer pessoa na internet poderia acessar o conteúdo do servidor”, afirma o relatório.  

“Dadas todas as evidências acima, é justo supor que o servidor parece ter sido usado por um terceiro autorizado como uma área de teste enquanto eles coletavam informações pessoais confidenciais com intenção pouco clara, mas provavelmente maliciosa. No entanto, não está claro qual era o objetivo final da parte que coletou dados confidenciais”, concluiu o documento do Group-IB. 

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!