Segundo relatório da unidade de inteligência do Group-IB, empresa de segurança cibernética com sede em Cingapura e que tem parceria com órgãos de investigação, como a Interpol, uma falha no servidor do Ministério da Economia expôs dados de mais de 20 mil brasileiros.
Dados pessoais que constam em documentações utilizadas em licitações públicas foram expostos publicamente através do portal de compras do governo federal (anteriormente conhecido como ComprasNet). Com o código e o número do processo de um pregão eletrônico, é possível acessar documentos como a CNH de empresários em alta resolução e informações de contratos sociais, como nome completo, endereço, CPF, RG e etc.
Anastasia Tikhonova, chefe de pesquisa da equipe de inteligência do Group-IB, disse:
Nosso primeiro pensamento foi: 'uau, alguém esqueceu um diretório de 55 GB com dados confidenciais em um servidor disponível publicamente'. Não tínhamos ideia de quem esse servidor pertencia, mas parecia haver pessoas reais segurando suas identificações nas fotos de selfie para fins de verificação.
A única coisa certa a fazer era entrar em contato com as autoridades competentes para que eles pudessem tomar as ações necessárias para mitigar os riscos.
Em entrevista ao Valor, o CEO e fundador da TI Safe, Marcelo Branquinho, também se manifestou:
Qualquer empresa que deseje vender ao governo federal tem os dados pessoais dos empresários abertos no site de compras, sem necessidade de senha.
O número do processo e do pregão estão disponíveis no portal, facilitando golpes em nome dessas pessoas. É totalmente inaceitável.
Em momento algum você autoriza a exposição, o que é errado, já que o próprio governo criou uma lei contra vazamento de dados pessoais.
A pedido do site CISO Advisor, André Barreto, especialista em segurança cibernética, analisou a falha no ComprasNet:
Nesse caso há uma série de problemas graves de segurança e quebra de privacidade, devido a diversos fatores, dentro os quais destaco: 1) O acesso aos dados é feito sem nenhum tipo de autenticação; 2) Não há nenhum tipo de validação se a origem tem permissão para acessar aqueles dados (remete ao item 1); 3) Os dados estão sendo transmitidos por um meio não criptografado (HTTP puro); 4) Ainda que force o uso de HTTPS para criptografar o dados, o certificado é inválido (ainda que ajuste a URL para ser a mesma usada na emissão do certificado).
Em nota enviada para o site Security Report, o Ministério da Economia afirmou:
O Ministério da Economia esclarece que municiou as investigações da Polícia Federal sobre ataque cibernético e criminoso, no começo deste ano, contra empresa contratada por licitação para atender a chamados feitos ao órgão. Da apuração, podem resultar inclusive sanções à empresa contratada. Na época, o Ministério ainda comunicou todos os demais órgãos competentes para tomarem as medidas adequadas.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
