Topo

CPF, email e mais: servidores públicos tiveram 16 mil dados vazados em 2021

Shuttestock
Imagem: Shuttestock

Abinoan Santiago

Colaboração para Tilt, em Florianópolis

22/11/2021 04h00

Um levantamento sobre cibersegurança revelou que 16 mil credenciais de funcionários de órgãos públicos federais, estaduais e municipais estiveram expostas na internet. Isso significa que os servidores usaram o login e senha corporativos em sites que requisitam algum tipo de cadastro e acabaram tendo os dados expostos ou por vazamento direto do próprio órgão público.

O levantamento, obtido com exclusividade por Tilt, é da Axur - referência em monitoramento, detecção e derrubada de riscos digitais na internet no Brasil. O relatório corresponde ao período de julho a setembro de 2021 e constatou que, ao todo, o país teve 2,03 milhões de dados expostos.

Apesar do quantitativo, o número representa uma queda de 99,56% em comparação ao segundo trimestre de 2021, quando houve o vazamento de 465,5 milhões de registros.

Já em relação ao vazamento de credenciais governamentais, a queda foi de 95,97%. No segundo trimestre, foram 160.478 senhas e logins expostos. O relatório não informa os órgãos públicos que tiveram os dados vazados por "questão de segurança e confidencialidade", mas "são todos de pessoas físicas que trabalham nesses lugares".

Para Eduardo Shultze, líder de inteligência em ameaças da Axur, o relatório não significa que o órgão público é inseguro.

"O problema é que as pessoas usam contas de e-mail corporativas para se cadastrar em diversos sites. Por exemplo, um funcionário acessa um site de venda de sapatos e se cadastra com seu e-mail corporativo, caso ocorra um ataque ou vazamento contra esse site, esse dado será vazado, não significando necessariamente que o órgão possui uma fragilidade ou foi propriamente invadido", explicou.

Já em relação a credenciais de funcionários de empresas privadas, ocorreu uma queda de 70% no vazamento em relação ao segundo trimestre. Entre julho e setembro, foram registrados 148 mil credenciais expostas.

Todas as detecções são referentes a exposições em web superficial, deep e dark web,

"Muitos usuários utilizam a mesma senha em diversas redes, facilitando o acesso do criminoso a todas suas redes, caso a senha seja vazada", complementou Shultze.

CPF e cartões de créditos no topo

Em meio aos 2,03 milhões de dados expostos, de acordo com a Axur, os CPFs aparecem como o alvo preferido dos cibercriminosos, correspondendo a 57%. Endereços de email (968 mil), CNPJs (480 mil) e documentos com foto (6.985) completam a lista.

Quanto aos cartões de créditos e débitos, o relatório conseguiu identificar o vazamento de 1.354.822 no mundo todo. Do total, 1.309.003 (94,2%) estavam na data de validade no momento da detecção.

Os dados colocaram o Brasil em primeiro no ranking mundial de vazamentos de cartões de crédito e débito no terceiro trimestre, pois o país foi responsável por 22,1% de todas as exposições desse dado, o que correspondeu a 299 mil. Índia (16,9%) e Estados Unidos (11,1%), México (7%), Austrália (6,2%) e África do Sul (5,1%) completam o "top 5".

Quem está sujeito a vazamentos e como saber se sou uma vítima?

Segundo Eduardo Shultze, alguns dados são comercializados e podem valer bastante dinheiro, já outros são usados como estratégia de constrangimento público da empresa com finalidade de causar danos à reputação da marca.

O especialista diz que, hoje em dia, não é muito fácil escapar dos cibercriminosos porque "todos que acessam a internet e algum dia já realizaram algum cadastro em algum site, estão sujeitos a terem seus dados expostos".

"Basta que o site seja invadido ou tenha uma exposição acidental. Normalmente acontece através de alguma falha que algum hacker identifica e se aproveita para invadir e fazer a retirada dos dados, mas também pode acontecer por falha humana - alguém deixar a base de dados exposta, sem proteção, e aí não é preciso invadir, é possível encontrar na internet", afirma.

Shultze lista que o ideal é se prevenir, como "evitar cadastros em qualquer site, analisar onde está inserindo seus dados, verificar as permissões que um aplicativo solicita antes de autorizar, ativar a autenticação em dois fatores, buscar pelo site original da marca ao invés de clicar no primeiro link de busca do Google e não abrir links sem verificar".

Também é possível saber se seus dados foram expostos neste link. Pelo email, é possível saber o que pode ser sido vazado. E com a Black Friday chegando, este site, indica se é confiável ou não para inserir alguma informação pessoal.