Apenas um dia após o Dia de Privacidade de Dados, que busca conscientizar empresas e população sobre os riscos cibernéticos, um novo vazamento foi descoberto em um software de código aberto utilizado por órgãos públicos.
A Security Report teve acesso, por meio de especialistas que solicitaram sigilo, a três links do Pastebin que continham informações vazadas (os links foram removidos ao longo da apuração). Um deles apresentava testes de vulnerabilidade no módulo de pesquisa pública realizados em instalações do SEI (Sistema Eletrônico de Informações) de órgãos públicos.
Dentre as instituições afetadas estão Ministérios (Educação, Saúde, Agropecuária, entre outros), entidades públicas (Correios, Susep, Fiocruz, entre outros), universidades (UFRGS, UFRJ, UnB, UFMT, entre outras), governos (RO, GO, PE, entre outros) e Tribunais de Justiça (TJES, TJDFT).
Nele era possível verificar endereços diretos (URLs) para pastas dentro dos servidores que, aparentemente, continham informações de credenciais de acesso, conforme a imagem abaixo.
Outros dois links também continham bancos de dados com informações sensíveis (nomes, CPFs, e-mails, endereço, telefones e data de nascimento) de usuários cadastrados em sistemas do MEC (Ministério da Educação e Cultura) e do FNDE (Fundo Nacional de Desenvolvimento da Educação).
Sistema Eletrônico de Informações
O software utilizado pelos órgãos públicos afetados pelo vazamento é desenvolvido e fornecido gratuitamente pelo TRF-4. Trata-se de um sistema de gestão de processos e documentos eletrônicos desenvolvido com recursos públicos e que necessita de Ofício assinado por autoridade competente para ser utilizado, seguindo um acordo de cooperação técnica e plano de trabalho definidos.
Segundo portal de Software Público do governo, o sistema busca a liberação de um suporte físico (como o papel) para documentos institucionais, compartilhamento de informações e comunicação em tempo real.
De acordo com especialistas consultados pela Security Report, softwares comprados de desenvolvedoras privadas permitem que se recorra em relação à falha; a empresa pode ser mais facilmente responsabilizada. O mesmo não acontece com sistemas como o SEI.
A recomendação é que as organizações façam análises de vulnerabilidades e pentest em softwares adquiridos ou cedidos, especialmente os de código aberto.
A reportagem entrou em contato com as assessorias de várias instituições relacionadas no vazamento. Até o momento de fechamento dessa matéria, apenas o Ministério da Saúde havia emitido nota:
“O Ministério da Saúde informa que detectou um problema no modulo de pesquisa do Sistema Eletrônico de Informações (SEI), e que já corrigiu o problema. A pasta ressalta que o Departamento de Informática do SUS (DATASUS) trabalha, entre outras ações, no sentido de garantir a segurança e operabilidade dos sistemas de saúde de todo o país.”
ATUALIZAÇÃO: A assessoria do TRF4 enviou nota à redação da Security Report confirmando que a vulnerabilidade ocorreu no módulo de pesquisa pública utilizado em algumas instalações do SEI. Esse módulo não é parte integrante do SEI e seu desenvolvimento é realizado por órgãos públicos que os interligam ao sistema por meio de uma camada de serviços. A assessoria ainda frisa que, conforme informações obtidas junto à equipe de gestão do PEN – Processo Eletrônico Nacional, providências para correção do módulo já forma tomadas e já estão no portal do Software Público.
A assessoria do Ministério da Economia | Fazenda também emitiu a seguinte nota de esclarecimento:
“A vulnerabilidade permite acessar arquivos fora da pasta raiz da aplicação, sendo o acesso feito somente através de download. A correção da vulnerabilidade foi disponibilizada no portal de software público com a versão 3.0.6 do módulo de Pesquisa Pública. Mediante a situação e a urgência que se encontrava, ontem mesmo fizemos a atualização desta versão no ambiente do Ministério da Economia.”