Configuração defeituosa do Apache vaza dados de 120 milhões de brasileiros.

O InfoArmor descobriu um servidor on-line mal configurado que continha números de contribuintes de 120 milhões de brasileiros.

Em março de 2018, investigadores de segurança da InfoArmor descobriram um servidor on-line mal configurado que continha números de identificação de contribuintes, ou Cadastro de Pessoas Físicas (CPFs), de 120 milhões de brasileiros. Não está claro por quanto tempo os dados permaneceram expostos on-line ou quem os acedeu durante este periodo

Estes números de contribuinte permitem realizar operações como abrir uma conta bancária, pagar impostos ou obter um empréstimo.

Os investigadores descobriram um ficheiro chamado index.html_bkp no servidor Apache (provavelmente um backup do index.html), o que fez com que o servidor web exibisse a lista de ficheiros e pastas armazenadas naquela diretória e fizessem o download deles.

A pasta incluía ficheiros com tamanho entre 27 megabytes e 82 gigabytes.

Os investigadores da InfoArmor descobriram que um dos ficheiros continha dados relacionados ao Cadastro de Pessoas Físicas (CPFs), informações pessoais, informações militares, telefone, informações de empréstimos e moradas dos cidadãos.

“CPFsare an identification number issued by the Brazilian Federal Reserve to Brazilian citizens and tax-paying residentaliens, and each exposed CFP linked to an individual’s banks, loans, repayments, credit and debit history, voting history, full name, emails, residential addresses, phone numbers, date of birth, family contacts, employment, voting registration numbers, contract numbers, and contract amounts.” reads the report published by InfoArmor.

Os investgadores acreditam que a diretoria foi usado para armazenar backups de bases de dados. Enquanto o InfoArmor tentava comunicar a descoberta ao proprietário da BD, alguém substituiu o ficheiro de 82 GB por um ficheiro .sql de 25 GB.

In the days following the initial discovery, InfoArmor’s research team attempted to determine who owned theserver so they could be notified. During this time, InfoArmor observed that one of the files, an 82 GB file, hadbeen replaced by a raw .sql file 25 GB in size, though its filename remained the same.” continues the report.

“This swap suggests a human intervened. It is possible that a server administrator had discovered the leak, however the server remained unsecured for weeks after this swap”

É importante notar que este tipo de falhas acontece muito regularmente quando não existe uma política de verificação de software releases. 

Devido a isso, hoje em dia as empresas necessitam de definir pipelines de validação e auditoria por forma a evitar danos maiores para si, e para as informações dos seus clientes.

Como nota final, uma brecha de informação com números semelhantes a estes pode ser catastrófico para uma organização do ponto de vista de privacidade e do RGPD.