Violações e fugas de dados têm sido uma crescente nestes últimos tempos, quase como uma tendencia imparável.

Mais um dia, e mais um novo data breach. Depois da AdidasPanera Bread , da Atlas Quantum,  e da Air Canada, também em Portugal se bebe um pouco deste sumo um tudo nada venenoso.

Foi anunciado por uma plataforma media que um website fraudulento permite aos utilizadores obterem cartas de condução, em que o utilizador apenas precisa pagar a sua emissão.

Naturalmente esta é uma plataforma ilegal, e mais do que isso,  não cumpre com os mínimos requesitos de segurança e expõe dessa forma dezenas de dados pessoais, como cartões de cidadão e assinaturas dos utilizadores interessados na campanha fraudulenta.

Há um site em Portugal que permite obter rapidamente uma carta de condução. Segundo o que é referido, “Se você é do norte ou sul, leste ou oeste; Seja você europeu, asiático, americano ou africano, comprar carta de conduçãoportuguesa neste site com confiança. Seja você de Portugal, ou você é residente estrangeiro em Portugal, comprar uma carta de condução neste site seria uma decisão muito melhor da sua parte. No entanto, recomendamos que você documente a condução antes de usar nossos serviços.”

 

No website fraudulento é dito ainda que existe uma parceria com algumas escolas de Lisboa e do Porto.

“onde centenas de motoristas portugueses passam a cada ano. Estamos conscientes, no entanto, de que Lisboa e Porto, dependendo da sua casa, podem estar muito longe de você ou podem não ter muito tempo e dinheiro à sua disposição. O seu arquivo será tratado sob o nome de uma dessas escolas automáticas, com coerência e profissionalismo para que não haja diferença visível entre esta e as outras. Nós inscrevemos você no exame teórico e prático e você triunfa automaticamente. Sua carta de condução é então entregue a uma dessas escolas de condução que elas nos enviaram em nome da nossa parceria e depois de registrar a licença nos arquivos IMT através dos nossos contatos lá. Nós enviamos de volta para você através de uma agência de envio”

 

Para o registo de uma nova carta de condução, o utilizador apenas precisa aceder ao seguinte formulário.

cartas-720x507

1

 

Os documentos marcados como mandatórios no formulário, nomeadamente foto, documento de identificação e assinatura do utilizador são guardados numa diretória pública no servidor, e que expõe automaticamente na Internet todos os dados dos utilizadores (uma vulnerabilidade bastante comum e presente no TOP 10 OWASP, denominada como Directory Traversal).

 

files

 

 

Os documentos encontrados são aqueles enviados pelos utilizadores aquando do preenchimento e submissão do formulário, portanto são válidos e reais.

Para um utilizador comum, este website e o serviço parecem totalmente legais. Segundo a informação que consta no website, a carta de condução poderá ser entregue ao domocílio, custa apenas 1050 euros e pode obtê-la em menos de 6 dias.

Os dados podem ser agora utilizados pelos criminosos e é aconselhavel a todos os utilizadores que estejam atentos a futuros ataques de spear-phishing direcionados.

Os responsáveis pelo website foram informados sobre o problema de segurança mas não foi obtida qualquer resposta.