O portal Passe Livre da ANTT (Agência Nacional de Transportes Terrestres), que é ligada ao Ministério da Infraestrutura, expôs por tempo indeterminado os dados sensíveis de cerca de um milhão de brasileiros com deficiência inscritos no programa federal.
De acordo com a ANTT, o Passe Livre é um “programa que garante a pessoas com deficiência e comprovadamente carentes o acesso gratuito ao transporte coletivo interestadual por rodovia, ferrovia e barco. O programa é para pessoas com deficiência física, mental, auditiva, visual, múltipla, com ostomia ou doença renal crônica, de baixa renda”.
A Agência ainda afirma em seu site que possui 200 mil pessoas credenciadas, mas que poderia atingir cerca de 2,5 milhões de brasileiros
No entanto, um vazamento identificado na quarta-feira (12) indicava que o portal Passe Livre armazenava os dados de cerca de um milhão pessoas – com identificador único no arquivo, é possível rastrear cerca de 930 mil.
O pesquisador de segurança “Taifeyb” alertou ao TecMundo que as informações eram facilmente acessadas por qualquer cidadão que se cadastrar no portal de empresas do Passe Livre Interestadual (mesmo com dados fictícios na inscrição).
Ao checar o arquivo aberto ao público, foi possível encontrar informações como: nome completo do requerente, telefone residencial (ou celular), número de documento (RG), parcial do CPF, data de nascimento, sexo, número de credencial (identificador pessoal), data de validade, número do Passe Livre, número do processo, situação do requerente, abreviação do requerente, fotos do requerente, documento SGL UF e nome completo e dados do acompanhante.
“Dado o grande volume de informações sensíveis contidas neste arquivo, é imperativo que medidas imediatas sejam tomadas para protegê-lo e garantir a privacidade e segurança das pessoas envolvidas. As informações contidas neste arquivo estão vulneráveis a ataques cibernéticos e qualquer acesso não autorizado pode ter sérias consequências para as pessoas envolvidas”, notou Taifeyb.
Após contato do TecMundo, a ANTT corrigiu a vulnerabilidade. Segue o informe: "A Agência Nacional de Transportes Terrestres (ANTT) informa que o incidente reportado está sendo apurado. A Agência também antecipa que está em desenvolvimento um novo sistema do Passe Livre que garantirá maior navegabilidade e segurança aos solicitantes do benefício. Esse novo mecanismo será lançado em breve".
Imagem do vazamento do Passe Livre (Fonte: TecMundo)
Como o acesso foi realizado
A obtenção dos dados foi realizada após o cadastro simples em dois domínios de consulta do Passe Livre, de acordo com a fonte.
Dentro do sistema, no item “Acesso Offline”, existe um programa em Java com todos os arquivos supostamente criptografados – ou seja, protegidos.
A chave para liberação da criptografia estava presente no mesmo ambiente
O problema é que a chave criptográfica para a liberação dos arquivos podia ser visualizada no código Java do próprio programa.
“Utilizei os dados fictícios 01234567890 e 1234 para fazer login e tive acesso ao portal, onde pude consultar qualquer um dos protocolos e obter a foto das pessoas”, explicou o pesquisador.
De acordo com o Manual Operacional do programa Passe Livre, que também foi enviado ao TecMundo, a última atualização de normas teria acontecido em 2018.
Manual Operacional do Passe Livre (Fonte: TecMundo)
O grande problema
Um dos principais pontos que envolve o fácil acesso para informações pessoais é o cibercrime.
No caso, dados precisos como esses podem gerar golpes de spear-phishing. O phishing direcionado permite que cibercriminosos criem mensagens falsas mais precisas e próximas da realidade de um alvo. Dessa maneira, a vítima fica mais suscetível a clicar em um link malicioso ou acabar enviando informações bancárias, por exemplo.
Outro problema envolve a personificação. Cibercriminosos ganham a capacidade de abrir contas digitais diversas com esses dados. Por exemplo, contas laranjas para a realização de outros golpes.
Exemplo de requerente presente no vazamento (Fonte: TecMundo)
Denuncie ao TecMundo
Para realizar sua denúncia ao TecMundo, você pode enviar um email para os seguintes contatos:
Categorias
