Vazamentos de dados causados por ataques hackers são acontecimentos preocupantes por si só, mas a situação é ainda pior quando informações pessoais podem ser coletadas por falta de cuidado em segurança. E foi isso o que aconteceu com um servidor brasileiro, que expôs o número de CPF de 120 milhões de brasileiros devido a negligência na hora de configurar a segurança de um servidor.
O caso foi detectado por pesquisadores da empresa de segurança InfoArmor em março deste ano. Ao analisar um servidor público brasileiro, os engenheiros perceberam que ferramentas de segurança não estavam devidamente configuradas, o que fazia com que os dados armazenados nele pudessem ser acessados por qualquer pessoa – ou seja, o número de CPF de mais da metade da população brasileira podia ser conferido a qualquer momento.
O vazamento do número de CPF por si só já é preocupante, mas os dados expostos no servidor continham ainda outras informações sensíveis sobre brasileiros, incluindo histórico de empréstimos bancários, de débito e crédito, e também dados pessoais como nome completo, contatos de família, informações de empregadores, entre várias outras coisas.
Os riscos da negligência com a segurança
O caso é um exemplo claro de falta de preocupação com a segurança dos usuários. De acordo com a InfoArmor, o servidor em questão era público, e bastava um conhecimento mínimo em servidores para acessar conteúdo armazenado nele. Era só entrar em um endereço específico para encontrar um diretório com esses dados – ou seja, qualquer pessoa poderia chegar a essas informações sem muita dificuldade.
Após detectarem a falha, os engenheiros da InfoArmor tentaram entrar em contato com os responsáveis pelo servidor em questão, mas não conseguiram resposta. Algum tempo depois, os dados armazenados no servidor foram atualizados, mas seguiam facilmente expostos. Apenas mais de um mês depois a falha foi devidamente corrigida, e os responsáveis seguem sem identificação.
Apesar de tudo ter sido solucionado, não há garantia alguma de que os dados não tenham sido coletados por pessoas maliciosas, que podem tentar vender essas informações na dark web no futuro. Até agora, não há nenhum indício de que isso aconteceu – mas pode ser que os dados sejam vendidos no futuro, causando problemas para cidadãos e até mesmo para o Estado brasileiro.