Nesta sexta-feira (7), o TecMundo recebeu uma denúncia assustadora a respeito de uma falha crítica no sistema da Unidas, empresa brasileira que atua no ramo de locação de automóveis. A companhia possui um site público (http://voucherunidas.com.br/) no qual é possível acessar a todos os emails trocados entre a operadora, seus parceiros e consumidores, com direito a vouchers contendo informações sensíveis de clientes.

Esses documentos incluem dados como nome completo, RG, CPF, telefone, residência, carteira de habilitação e detalhes sobre a reserva em questão (placa do carro, modelo e local de retirada e devolução). Em alguns casos, você consegue até mesmo descobrir o número do voo pelo qual um indíviduo chegará em determinada cidade, sabendo onde ele vai retirar o veículo e para onde seguirá viagem.

Quem denunciou a vulnerabilidade foi Cláudio Asato, diretor do Projeto Amiko, inciativa sem fins lucrativos que visa alertar empresas e civis sobre os perigos que o uso incorreto da internet pode trazer para nossas vidas. De acordo com Cláudio, o assunto veio à tona quando um colaborador do projeto foi assaltado durante uma viagem a negócios, e, após uma rápida investigação, descobriu que seu itinerário possivelmente havia vazado por conta dessa falha no site da Unidas.

Sistema está público na web e contém dados sigilosos dos clientes da Unidas

Já alugou um carro? Seus dados estão aqui

A vítima registrou um boletim de ocorrência (B.O.) e Cláudio se encarregou de alertar a Unidas sobre a assunto, porém recebeu um simples “Obrigado” do responsável pelo setor de TI da companhia. O TecMundo acessou o site vulnerável e confirmou que é extremamente simples acessar documentos críticos dos clientes da própria locadora e de empresas parceiras, como a SulAmérica e a RentalCar.com. Há emails desde abril de 2015.

Em uma rápida pesquisa, conseguimos ler diversos dados pessoais de clientes do Brasil inteiro

Ao entrar em http://voucherunidas.com.br/, uma lista atualizada de conversas é exibida automaticamente, sem a necessidade de login. Você pode realizar uma pesquisa por número da reserva, data das mensagens e status de processamento da reserva. Ao abrir cada um dos tópicos, além de ler os emails trocados, é possível acessar os anexos, que é onde se escondem os documentos mais preciosos para os criminosos cibernéticos.

Em uma rápida pesquisa, conseguimos ler diversos dados pessoais de clientes do Brasil inteiro. É comum encontrar vouchers com confirmações de locações, e, no caso de clientes que vêm de outro estado, dados sobre seu voo e hora de chegada. Em algumas situações, o TecMundo achou até mesmo fichas com inspeções veiculares completas e outros boletins registrando acidentes de trânsito com veículos locados pela Unidas.

Exemplo de email contendo informações críticas de clientes

Confira alguns vouchers encontrados

Outros documentos vazados

O que é possível fazer com tais informações?

Ok, os seus dados estão na internet. Estão lá, em uma página qualquer para qualquer pessoa acessar. Você pode até pensar que não há problema nisso e "que você não deve nada para ninguém". Porém, os desdobramentos que dados sensíveis podem causar são inúmeros — e tenha certeza, todos podem lhe afetar negativamente de alguma maneira.

Vamos lá: neste caso do site da Unidas, são encontradas informações sensíveis como os números da Carteira de Habilitação Nacional, Carteira de Identidade (RG), Cadastro de Pessoa Física (CPF), Cadastro Nacional de Pessoa Jurídica (CNPJ), números de telefones e celulares, além de endereços, datas de nascimento etc. Com todos esses dados, tenha certeza de uma coisa: tanto no âmbito digital quanto no "real", o cibercrime e o crime físico possuem a sua vida nas mãos.

Sequestros e assaltos são apenas alguns dos crimes que você pode sofrer

Vamos assumir por um momento que você tenha alugado um veículo. Criminosos podem com extrema facilidade saber os horários de entrada e chegada do carro, por exemplo. Com o seu endereço em mãos e também com a informação de qual veículo você alugou, temos uma presa fácil, não?

Como citamos anteriormente, para corroborar o que dissemos acima, recebemos informações de um empresário que foi assaltado durante uma viagem a negócios. Isso seria "normal", caso o crime não tivesse sido motivado exatamente pelas informações do itinerário de viagem na internet. Outro ponto nada bacana: com o seu endereço em mãos e sabendo quanto você pode gastar em média alugando um veículo, você também pode se tornar um alvo bem fácil para receber "uma visita".

Por último: você, principalmente os residentes de São Paulo, capital, já deve ter escutado que é fácil comprar pendrives com milhares de informações de cidadãos paulistanos. Bem, saiba que o seu nome também pode parar nestes pendrives — e, se estiver, saiba que este é o ponto em que o cibercrime também entra na jogada.

É possível cometer uma série de crimes de posse dos dados encontrados

Submundo do cibercrime

Se você não conhece o verdadeiro potencial de cibercriminosos, sugerimos a leitura de nossas entrevistas com o jornalista britânico Misha Glenny e com a "lenda da cibersegurança" John McAfeeCarders, que também podem ser chamados de crackers, são um dos maiores perigos quando falamos em cibersegurança e perigos para o usuário final, não empresas — no âmbito corporativo, o ransomware tem a liderança.

Você pode ser envolvido em esquemas de lavagem de dinheiro

Carders são formados por homens e mulheres que costumam atuar em grupo, apesar da existência de lobos solitários. Eles têm a capacidade de pegar os seus dados vazados e praticar diversos tipos de fraudes — o mais comum, por exemplo, clonar o seu cartão. Esse grupo atua principalmente realizando compras online e roubando senhas, ato conhecido como banking.

Já pensou ter o seu nome envolvido em lavagem de dinheiro? Isso também pode acontecer se algum cibercriminoso colocar as mãos em suas informações sensíveis. É possível realizar transferências de dinheiro de maneira ilegal e usar os seus dados para isso. Outro ponto além de carders, lavagem de dinheiro e roubo? Roubo de identidade: também fica fácil clonar quem você é para burlar sistemas burocráticos do governo. Agora, imagine o trabalho necessário para arrumar essa bagunça.

Diretor de TI da Unidas não pareceu muito preocupado com os vazamentos

A resposta da Unidas e de seus parceiros

O site foi retirado do ar hoje, por volta das 16h40, após entrarmos em contato com a assessoria da Unidas; porém, ainda é possível visualizá-lo graças ao cache do Google. Segue o posicionamento oficial da marca a respeito do assunto:

A empresa lamenta o ocorrido e informa que o erro foi prontamente corrigido. A página em questão era para uso interno, com acesso restrito, e houve uma falha técnica nunca antes ocorrida. A companhia salienta que muitas informações do portal são públicas. O sistema principal, com dados mais importantes, é absolutamente seguro. Sobre o BO mencionado na reportagem, a Unidas não foi informada do mesmo nem tampouco intimada a prestar quaisquer esclarecimentos dessa ordem. Portanto, não é factível concluir que qualquer fato ocorrido a posteriori possa ser consequência do erro no site. A empresa reitera que trabalha com as melhores práticas do mercado, seguindo rígido controle de segurança de seus bancos de dados.

Já  a SulAmérica nos enviou o seguinte comunicado:

A SulAmérica preza pela privacidade dos dados pessoais de seus segurados e colaboradores e já solicitou a apuração urgente do ocorrido junto à locadora Unidas.

Além disso, também tentamos entrar em contato com 2Z Soluções, agência que, aparentemente, foi a responsável pela criação do sistema da Unidas (ou pelo menos foi ela que registrou o domínio do site vulnerável, de acordo com o Who.is), mas não obtivemos retorno até o momento.

Esta reportagem contou com a colaboração do jornalista Felipe Payão.

Cupons de desconto TecMundo: