Falta de travas simples expôs dados usados contra Moraes: 'Inadmissível'
A Polícia Federal apura exposição de dados pessoais de delegados e do ministro Alexandre de Moraes. Segundo reportagem do UOL, dados internos foram acessados por terceiros que, por sua vez, ameaçavam servidores públicos.
De acordo com especialistas ouvidos por Tilt, o acesso indiscriminado a essas informações poderia ser evitado com medidas de segurança, como "travas para consultas" e revisão de privilégios.
O que aconteceu
A suspensão do X no Brasil teve como base uma investigação sobre vazamento de dados de delegados da Polícia Federal, do ministro Alexandre de Moraes e de um empresário. A ideia era expor essas pessoas na internet.
Os dados foram acessados do Infoseg (Informações de Segurança), um sistema integrado de bancos de dados públicos. Lá, é possível acessar processos judiciais, além de informações pessoais, como endereço, telefone de contato, registros de arma e de veículos.
Os registros mostram acesso indiscriminado de alguns usuários a esse sistema. Um usuário de um juiz do TJ-SP fez 4.122 consultas em um dia. Um policial militar de Goiás fez 17.792 consultas em um mês.
A possibilidade de um único login realizar milhares de consultas em um curto espaço de tempo, sem detecção, revela uma cultura de segurança passiva. Isso é inadmissível num contexto de um sistema que lida com informações sensíveis, incluindo dados de figuras públicas
Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética)
Hiago explica que a falta de limite de acesso facilita a realização de webscrapping - a atividade de coletar (ou "raspar", no linguajar técnico) dados de forma automatizada. Desenvolvedores conseguem fazer um "robô" que navega numa página e vai copiando as informações. Um alto número de consultas costuma significar que alguém está coletando dados. "Isso reflete um cenário alarmante de fragilidade, onde medidas básicas de segurança, como limitação de acessos, autenticação multifator e monitoramento em tempo real, parecem ter sido negligenciadas".
Durante lançamento da campanha "Tem cara de golpe", da ABBC (Associação Brasileira de Bancos), o delegado Carlos Afonso Gonçalves, da divisão de crimes cibernéticos do Deic-SP, ressaltou a importância de fazer trabalho de prevenção.
Ainda que citasse empresas (e não órgãos públicos), ele comentou sobre a importância de "escalonar serviços por usuário" e do monitoramento no caso de funcionários que lidam com informações sensíveis. "Tem operador de telemarketing que entrava numa empresa apenas para aprender o 'script' de atendimento para depois levar para uma falsa central telefônica para aplicação de golpes", disse.
"Usos atípicos, como milhares de consultas, deveriam gerar alertas automáticos, e, em casos mais graves, causar um bloqueio automático de login até uma revisão de segurança", afirma Hiago.
Por fim, outra medida sugerida pelo presidente da Abraseci, é a "revisão de privilégios" ao sistema. "Servidores públicos com diferentes funções - como policiais rodoviários e guardas municipais, por exemplo - não deveriam ter acesso irrestrito aos mesmos dados. O controle granular é fundamental para evitar que uma única conta tenha acesso a uma gama de informações muito ampla".