Uma falha no site do Ministério da Educação (MEC) estava expondo os dados pessoais de cidadãos brasileiros. Segundo o grupo de pesquisa e hacking HatBash, um API exposto permitia que qualquer pessoa realizasse consultas e pegasse informações como datas de nascimento, nomes completos, nomes de parentes e números de CPF. Dessa forma, "um cibercriminoso com boa engenharia social poderia puxar esses dados e causar problemas aos cidadãos", notou o grupo.

O TecMundo entrou em contato com o Ministério da Educação alertando sobre o problema, que foi resolvido em poucas horas pelo MEC.

"O que muita gente pode fazer é gerar CPFs aleatórios e praticar algum crime", comentou o HatBash. "Com engenharia social também é possível puxar informações mais críticas, como telefone e endereço". Além do âmbito virtual, o grupo notou que as informações obtidas no site poderiam ser utilizadas para crimes no mundo real, como táticas para sequestro, por exemplo.

Site MEC

O que cibercriminosos podem fazer?

Também conversamos com M. Toledo, 2° secretário-geral do Partido Pirata, para entender um pouco mais o que a exposição desses dados poderia causar: "Só com o CPF é possível habilitar linhas telefônicas em celulares pré-pagos, já que não existe nenhuma forma de verificação. Com CPF e nome completo, a pessoa vai poder solicitar diversos serviços".

Abrir contas em bancos para solicitar empréstimos e outras linhas de crédito

Como exemplo, Toledo cita que criminosos podem solicitar cartões de crédito, cartões de loja e realizar até compras no nome de cidadãos. Isso aconteceria pela capacidade de conseguir segunda via de contas e comprovantes de residência. "Pode, ainda, em posse de nome completo, CPF e comprovante de residência — o qual pode ser facilmente falsificado também — abrir contas em bancos para solicitar empréstimos e outras linhas de crédito", nota.

Em tempos em que a pauta é a vigilância de massa — principalmente com os últimos documentos vazados pelo WikiLeaks sobre as ferramentas da CIA — e a venda de dados para corporações, Todelo também comenta que "o fato de que as pessoas podem se tornar produtos não pode ser esquecido".

"Ao reunir grandes pacotes de informações com dados pessoais, as empresas começam a negociar entre elas esses dados para preencher bancos de dados e te inundar com propagandas. Além de manter um relatório completo sobre a sua vida com fins estritamente comerciais. Nada impede que pessoas com acesso a esses dados, que foram captados para fins comerciais, utilizem essas informações para praticar algum crime.

Apesar de ter corrigido a falha, o Ministério da Educação ainda não se manifestou sobre o caso. Assim que recebermos um posicionamento, esta matéria será atualizada.

José Mendonça Filho, ministro da Educação

O que era a falha?

Ao acessar o domínio http://sistec.mec.gov.br/precadastros/populacpf/cpf/, algum cibercriminoso poderia realizar buscas adicionando números no final. Por exemplo: http://sistec.mec.gov.br/precadastros/populacpf/cpf/NÚMEROCPF.

  • Abaixo, um exemplo de como isso acontecia. Veja o script:

Script

Dessa maneira, as informações no site do Ministério da Educação eram apresentadas assim

API

Denuncie

A API exposta, como supracitado, foi corrigida ontem (8) pelo MEC. Se você tem alguma denúncia e quer contatar o TecMundo, é possível enviar um email para denuncia@tecmundo.com.br. Se quiser enviar um email criptografado via plataforma para o autor, o email é felipepayao@protonmail.com.

Cupons de desconto TecMundo: