Os dados pessoais e biométricos de pelo menos 76 mil brasileiros foram expostos em uma grande falha de segurança nos servidores da Antheus Tecnologia. Ao todo, são mais de 2,3 milhões de registros individuais comprometidos em uma infraestrutura desprotegida, disponível em um servidor Elasticsearch e sem nenhuma verificação de credenciais.
Ao todo, são 16 GB de dados altamente sensíveis que incluem 76 mil registros individuais de impressões digitais, mas o time da Safety Detectives, liderado pelo pesquisador e responsável pela descoberta Anurag Sen, aponta para um comprometimento ainda maior e que também envolve endereços de e-mail e números de telefone da companhia responsável pelo sistema.
A empresa brasileira, sediada em Curitiba (PR), presta serviços para órgãos públicos como o DETRAN e as polícias Militar e Civil, além dos governos estadual e federal e departamentos de investigação criminal. Entre os serviços prestados está a emissão de documentos como RGs e carteiras de habilitação, o que torna o comprometimento desse banco de dados um pouco mais grave: ele permitia não só o acesso às informações, mas também o registro de novos usuários.
De acordo com as informações da Safety Detectives, os 16 GB de informação estavam divididos em 91 índices, dois dos quais foram analisados pela equipe de segurança para obtenção de um panorama sobre os dados disponíveis. Em ambos os casos, os especialistas acreditam se tratarem de pastas usadas por dois clientes distintos da Antheus, que usam os servidores da companhia para armazenar informações. Os envolvidos não foram identificados diretamente, assim como os cidadãos comprometidos pela exposição dos dados.
Além dos dados corporativos e pessoais, o time localizou informações relacionadas a reconhecimento facial e análises de padrões ligados às impressões digitais disponíveis no banco de dados. Tais informações podem ser utilizadas para recriar o mapa biométrico dos usuários, algo que pode servir para acessar servidores restritos e protegidos por esse formato.
De acordo com a Safety Detectives, não é possível saber se os dados foram acessados, extraídos ou comprometidos de alguma maneira durante o tempo em que o banco de dados esteve exposto.
Efeitos práticos
O principal perigo para os cidadãos atingidos é o uso de suas informações pessoais e, principalmente, biométricas em fraudes. A posse de dados sensíveis dessa categoria pode levar à invasão de contas pessoais, golpes bancários e tentativas de extorsão ou ameaça, além de ataques que envolvam engenharia social ou direcionamento.
De acordo com a Safety Detectives, o maior problema reside no fato de que informações biométricas como impressões digitais ou detalhes de reconhecimento facial não podem ser alteradas como senhas ou e-mails usados para acesso. Os hackers, uma vez em posse desse tipo de dado, possuem um registro permanente que pode ser utilizado na prática de fraudes bancárias ou digitais. Além disso, os especialistas apontam para o risco envolvendo o acesso a sistemas confidenciais, bem como uma possível manipulação destas plataformas.
Aos possíveis atingidos, a recomendação é ficar atento a tentativas de contato por telefone, e-mail ou mensageiros instantâneos. Vale a pena fazer uma checagem no estado da segurança das contas em redes sociais e outros serviços, trocando senhas repetidas ou inseguras, com poucos caracteres ou relacionadas a informações pessoais como data de nascimento, nomes de familiares ou animais de estimação, por exemplo.
Além disso, os especialistas ressaltam o cuidado na instalação de apps no celular ou softwares no computador, além de cautela no preenchimento de cadastros ou envio de informações pessoais usando redes sem fio desprotegidas. Na dúvida, é melhor desconfiar e não seguir adiante com tais ações.
Adaptado de: CanalTech