MS Notícias

Economia

Falha em site do Ministério do Trabalho vazou dados de brasileiros

Unsplash/Markus Spiske

Brasileiros tiveram dados vazados


Resumo Um site do antigo Ministério do Trabalho revelava dados de vários brasileiros. A partir do CPF, era possível descobrir endereço, nome completo e data de nascimento, por exemplo. Aparentemente, a falha já tinha sido explorada por vários hackers antes de ser corrigida.


Quando o assunto é proteção de dados pessoais , o Brasil fica em posição crítica. Um exemplo recente de descuido com informações sigilosas vem do antigo Ministério do Trabalho (MTE): uma falha em uma API no site do órgão permitiu que detalhes como nome completo e endereço de cidadãos fossem extraídos com consultas de CPF, sem nenhum tipo de autenticação.

O problema foi revelado ao Tecnoblog por um especialista em segurança que se identifica apenas como Andrey. Ele conta que descobriu a vulnerabilidade na segunda semana de fevereiro.

Na ocasião, a falha foi reportada por Andrey, via e-mail, ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR) e ao próprio MTE, órgão que, na verdade, foi convertido em Secretaria do Trabalho do Ministério da Economia em 2019.

Mas, até a tarde de sexta-feira (19), nenhuma solução havia sido aplicada no contato inicial, o CTIR apenas respondeu a Andrey com uma mensagem padrão de "notificação em andamento".

Você viu?

Sistema Juventude Web

A vulnerabilidade envolvia o endereço do Juventude Web , um sistema relativamente antigo, cuja primeira versão remete a 2009. O site foi criado pelo então MTE para o Cadastro Nacional de Aprendizagem Profissional (CNAP), programa de cadastramento de entidades habilitadas para formação técnico-profissional.

Por meio de uma requisição específica para o endereço www.juventudeweb.mte.gov.br junto a um número de CPF, era possível extrair os seguintes dados da pessoa física associada ao documento, sem que o site solicitasse senha ou outro tipo de autenticação:

CPF; Nome completo; Data de nascimento; Rua; Número da residência; Complemento; Bairro; CEP; Munícipio; Estado; Nome da mãe.

Usando um pequeno script fornecido por Andrey, o Tecnoblog pôde comprovar a vulnerabilidade na manhã desta sexta-feira. Todos as consultas de CPF testadas por nós retornaram as informações da lista.

A parte mais perturbadora é que, aparentemente, o banco de dados usado pelo sistema é compartilhado com outros serviços do governo. Isso porque, durante a verificação do problema, pudemos obter dados de pessoas que, em tese, não deveriam constar em cadastros do MTE por conta de fatores como idade ou atividade exercida.

O próprio Andrey constatou que o site do MTE revelava informações de crianças e de pessoas falecidas, por exemplo.

Como o sistema Juventude Web é antigo, é provável que a brecha tenha passado bastante tempo sendo explorada. Andrey relata ter encontrado recentemente mais de 15 scripts específicos para a vulnerabilidade em repositórios online. Quando ele soube do assunto, em fevereiro, havia encontrado somente cinco scripts, o que sugere que o problema vinha se tornando conhecido rapidamente.

Site sai do ar após contato do Tecnoblog

Após checarmos o problema, o Tecnoblog entrou em contato com a Secretaria do Trabalho por e-mail. Por volta das 16:00 de sexta-feira, recebemos um retorno da Secretaria de Políticas Públicas para o Emprego da Secretaria Especial de Produtividade, Emprego e Competitividade do Ministério da Economia (SPPE/SEPEC/ME) com a seguinte resposta: "Assim que tomamos conhecimento do problema, solicitamos que a página, que estava para ser desativada, fosse retirada do ar, como já aconteceu".

Leia também Hackers que vazam dados tiveram informações vazadas PF prende hacker suspeito de vazar dados de mais de 200 milhões de brasileiros Vazamento expõe 223 milhões de brasileiros; base é atribuída ao Poupatempo

De fato, constatamos que, horas depois do nosso contato, o site do Juventude Web deixou de funcionar e já não dava mais acesso aos dados .

Ainda de acordo com o SPPE/SEPEC/ME, o Juventude Web foi substituído por dois sistemas de cadastro que podem ser acessados a partir da página Aprendizagem Profissional.

Fonte: IG TECNOLOGIA
#texto-post div div { background: #FFF!important; } #texto-post p { margin-bottom: 20px; } .gd12 * { margin-bottom: 10px; font-size: 11px!important; } #infocoweb_corpo aside { font-size: 10px; font-weight: normal; } br[data-mce-bogus] { display: none; } #infocoweb_corpo figure.foto-legenda { font-size: 11px; }#infocoweb_corpo p:empty { display: none!important; }div#infocoweb_corpo { text-align: justify; }#infocoweb .wp-video { width: 100%!important; }#infocoweb video { width: 100%!important; }#infocoweb .wp-playlist { display: none; }#infocoweb img{width: 100%!important;}div#infocoweb_cabecalho img { width: unset!important; } #exibe-noticia p.imagem { display: none; } .imgPadrao { display: none; }