No mês passado o portal Passe Livre da ANTT (Agência Nacional de Transportes Terrestres), que é ligada ao Ministério da Infraestrutura, expôs por tempo indeterminado os dados sensíveis de cerca de um milhão de brasileiros com deficiência inscritos no programa federal.
De acordo com a ANTT, o Passe Livre é um “programa que garante a pessoas com deficiência e comprovadamente carentes o acesso gratuito ao transporte coletivo interestadual por rodovia, ferrovia e barco”. O programa é para pessoas com deficiência física, mental, auditiva, visual, múltipla, com ostomia ou doença renal crônica, de baixa renda.
Exposição de dados chega na casa de 1 milhão
A Agência diz que só tem 200 mil pessoas cadastradas no Passe Livre, mas a verdade é que esse número pode chegar a 2,5 milhões… e como descobriram esse número?! Porque o número de cadastros com dados vazados chegou na casa de 1 milhão. E o pior: qualquer um podia acessar essas informações, mesmo se cadastrando com informações falsas. O arquivo tinha nome completo, telefone, RG, CPF, data de nascimento, fotos, e até os dados do acompanhante. Ficou tudo aberto pra quem quisesse ver.
Pelo que disseram, foi fácil conseguir os dados das pessoas no Passe Livre. Bastava se cadastrar em dois sites, e pronto! O programa que guardava os dados era protegido com criptografia, mas a chave para desbloquear estava lá, exposta no código Java.
Um pesquisador fez um login com um nome falso (na verdade usou dados fictícios 01234567890 e 1234 para fazer login e teve acesso ao portal, fácil assim) e conseguiu ver a foto de qualquer pessoa. E o manual do Passe Livre não é atualizado desde 2018! Aí não dá, né?
O problema dessa falha de segurança é que os dados pessoais das pessoas ficaram expostos na internet. Isso é um prato cheio para golpistas, que podem criar mensagens falsas e parecidas com a realidade para enganar as vítimas. Com essas informações, eles podem abrir contas em nome das pessoas e fazer um estrago bem grande. Já imaginou?!
Por isso a necessidade de sempre estar atento e com dados, proteções e tudo sempre atualizado.
Se tivessem um WAF de respeito, isso nunca teria acontecido.
Mas afinal, o que é um WAF?
O WAF, ou Web Application Firewall, é um sistema específico para proteção cibernética, que opera entre o seu site ou aplicativo e o restante da internet, trabalhando como uma espécie de barreira para proteger que ataques e ações nocivas externas cheguem até a sua rede. Isso inclui variados tipos de ação, tais como: DDoS, DoS, Spammers, SQL Injection, XSS Injection etc. Em um contexto mais técnico, enquanto os tradicionais proxies funcionam como meio de proteção somente aos clientes, o Web Application Firewall (WAF) abrange os servidores por completo, agregando assim mais segurança e eficiência nas análises de riscos.
Se você busca uma solução moderna, completa e da mais alta tecnologia em cibersegurança, converse com um de nossos especialistas e conheça os diferenciais do WAF da XLabs. Até o próximo post 🙂
