São Paulo — Mais de 120 milhões de CPFs ficaram expostos por um tempo inderterminado na web, em uma das falhas de segurança mais graves já registradas no Brasil. A brecha na segurança de um banco de dados foi descoberta pela empresa norte-americana InfoArmor e, no entanto, aparentemente não foi provocada por uma falha de software — mas sim por puro e simples descuido na configuração de proteção de um servidor.

A história toda começou em março deste ano. Em uma varredura de rotina, feita justamente para encontrar computadores comprometidos, uma equipe de especialistas da companhia dos EUA notou que o endereço de um servidor brasileiro, que normalmente tem acesso restrito, estava aberto. E segundo a InfoArmor, a porta do banco de dados foi destracanda basicamente porque que um documento nele, o chamado "index.html", foi renomeado para "index.html-bkp".

Parece até uma ação inofensiva, mas esse arquivo serve mais ou menos como uma camada básica de proteção. Conforme explica o site BleepingComputer, um servidor do tipo Apache, como o desse caso, exibe por padrão o conteúdo do "index.html" quando é acessado. Como o documento mudou de nome, o endereço ficou sem essa opção. Como alternativa, então, ele passou a mostrar o menu de pastas do banco de dados quando era acessado.

O que havia no servidor? Quais os riscos?

Estavam guardados nesse "cômodo aberto" basicamente os números de CPFs de 120 milhões de pessoas. O número é comparável ao de dados vazados pelo bureau de crédito Equifax, que afetou potencialmente mais 140 milhões de norte-americanos em 2017.

O número não é exatamente valioso sozinho, mas já permite a um cibercriminoso checar algumas informações sobre vítimas em potencial. Além disso, com alguns dados obtidos por outros meios (como outros vazamentos de dados), é possível fazer desde cadastros válidos no nome de uma pessoa até compras e pedidos de empréstimos.

Não há registros de que esses dados tenham sido acessados por outras partes além da InfoArmor, como a própria empresa explica. Porém, como ela também ressalta, as informações vazadas em uma falha de segurança do Yahoo em 2016 só foram aparecer na chamada dark web — o submundo online — um ano depois. Caso os CPFs expostos tenham sido obtidos por alguma organização maliciosa, pode demorar para que algo aconteça.

De toda forma, para uma vítima, não há muito o que fazer quando o numero é vazado. Afinal, o cadastro não é como uma senha, que pode ser modificada em um caso assim. A fim de evitar transtornos no futuro, outra companhia de segurança, a ESET, recomenda apenas que os usuários "monitorem de perto o documento".

De quem é a culpa?

A InfoArmor diz ter tentado entrar em contato com os responsáveis pelo servidor vulnerável ainda em abril. No entanto, não teve muito sucesso nas primeiras vezes. Enquanto tentava novamente, a companhia de segurança conseguiu acompanhar toda a movimentação nos arquivos, que diminuíam e aumentavam de tamanho.

A empresa só foi ter algum retorno semanas depois da primeira tentativa, mas a porta continuou aberta até o final de abril. Foi só então que a brecha no servidor foi corrigida, e o endereço IP que era acessível por todos foi foi reconfigurado para servir como a página de login do site alibabaconsultas.com (não relacionado à empresa chinesa Alibaba).

Não há, no entanto, muitas informações no local, apenas um aviso de que o endereço está em manutenção e será lançado em breve. Também não dá para cravar que a empresa por trás desse site tenha culpa no caso, embora a companhia de segurança acredite que há envolvimento.