CPF de 120 milhões de brasileiros vazam na Internet

Falha ocorreu em servidor web Apache mal configurado e expôs 57% da população; pesquisadores que descobriram vulnerabilidade afirmam que algum cibercriminoso ou grupo com recursos de coleta pode ter obtido acesso os dados

Compartilhar:

A ESET comenta o caso descoberto em março de 2018 pela empresa InfoArmor. Seus pesquisadores descobriram um servidor web Apache mal configurado que continha arquivos com o número de CPF de 120 milhões de brasileiros que estavam expostos e poderiam ser acessados por qualquer pessoa.

 

O “Cadastro de Pessoas Físicas” ou CPF é necessário, entre outras coisas, para realizar transações financeiras, como abrir uma conta bancária, comprar um imóvel, abrir um negócio, pagar impostos, etc. Nesse sentido, cada número de CPF exposto está associado a um histórico bancário e fiscal. Considerando isso, o volume de informações sensíveis expostas por esse erro representa aproximadamente 57% da população do Brasil.

 

Depois de analisar mais de perto o servidor mal configurado, os pesquisadores descobriram que alguém havia modificado o nome de um arquivo de “index.html” para “index.html_bkp“. Essa mudança de nome é uma das razões pelas quais as informações foram expostas. Como explicam os especialistas, qualquer pessoa que soubesse o nome do arquivo e o encontrasse poderia ter acesso livre a todas as pastas e arquivos. Esses arquivos, que variam de 27 megabytes a 82 gigabytes, continham bancos de dados com informações relacionadas ao CPF.

 

A InforArmor tentou entrar em contato com o proprietário do servidor para comunicar a descoberta. E, embora tenha havido várias tentativas fracassadas, o erro de segurança foi reparado e as informações deixaram de estar acessíveis.

 

De acordo com os pesquisadores que descobriram esse vazamento de dados, é provável que algum cibercriminoso ou grupo com recursos de coleta de dados os tenha detectado. Caso isso realmente tenha ocorrido, é muito provável que esses dados possam ser usados no futuro para uma campanha maliciosa ou ataque direcionado ao Brasil.

 

O pesquisador de segurança da ESET, Daniel Cunha Barbosa, destaca que caso um cibercriminoso tenha acesso ao número de CPF “é possível gerar fraudes como cadastros válidos no nome de uma pessoa e, dependendo do nível de informações adicionais que o criminoso possua, fazer compras e até mesmo contratar empréstimos”, ressaltou o especialista. A ESET recomenda monitorar de perto o documento para evitar qualquer transtorno no futuro.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Cenário global de cibersegurança expõe vulnerabilidades na América Latina

Relatório mostra que IA impulsiona ataques mais sofisticados e América Latina registra nível crítico de ciberameaças em 2025
Security Report | Overview

Nova cepa de malware é estudada após ataque em APIs expostas

Estudo descobr euma nova cepa de malware que tem como alvo APIs Docker expostas, com capacidades de infecção expandidas. Ele...
Security Report | Overview

Explorações com IA são identificadas em pesquisa após violar vulnerabilidades

Pesquisadores analisaram a nova estrutura de exploração com IA, a qual permite que agentes maliciosos acessem vulnerabilidades críticas, forçando as...
Security Report | Overview

Grupo Pão de Açúcar revela estratégia para proteção digital contra ataques cibernéticos

A solução é resultado de parceria entre empresas, ela é reconhecida pela capacidade de detecção, prevenção e recuperação frente a...