Pesquisar
Feche esta caixa de pesquisa.

PUBLICIDADE

Dados de 33 milhões de motoristas no Brasil estão expostos a criminosos; Serpro atua

Credenciais de acesso ao sistema de vistorias veiculares do Brasil vazaram e permitiram consultas a informações pessoais e de veículos de cerca de 33 milhões de brasileiros, segundo denúncia enviada ao site TecMundo e confirmada pela reportagem com o Serviço Federal de Processamento de Dados (Serpro). Cibercriminosos vendem essas informações para aplicação de golpes via painéis do crime.

 

O ataque ao Sistema de Certificação de Segurança Veicular (SisCSV), utilizado pelo Detran, deixou exposto fotos de veículos, informações de placa, modelo, cor e tipo de transporte, além do nome completo, CPF, endereço, data e localização da vistoria. A exposição atingiu motoristas de todo o País. A denúncia foi enviada ao TecMundo via email anônimo, assinado pelo vulgo ‘Undefined Brazil’. Segundo o material recebido, foram atingidos cerca de 33 milhões laudos de vistoria únicos realizados até 2024.

 

O TecMundo ficou em contato com o Serviço Federal de Processamento de Dados (Serpro) ao longo das últimas semanas para checar a correção do problema.

 

O Serpro afirma que o SisCSV afetado é a versão legado (Sislv) e, atualmente, seria utilizada uma nova versão. Além disso, que não é responsável pela manutenção deste sistema, que registrou apenas acessos de credenciais válidas e que atua “na camada de infraestrutura do sistema no intuito de elevar os padrões de segurança da aplicação”.

 

A declaração completa do Serpro ao TecMundo pode ser acompanhada, na íntegra, mais abaixo. Também, questionamos quem seria o atual responsável pelo sistema, mesmo com o Serpro já mitigando o problema, visto que a posição atual é que o sistema foi entregue por uma empresa terceira, com código fechado, ao SENATRAN (Secretaria Nacional de Trânsito) — não recebemos uma resposta até o momento.

 

O Detran de São Paulo também foi acionado sobre o caso e esclareceu que “não há qualquer registro de falha ou vazamento em seus sistemas, que seguem operando com plena segurança e estabilidade”. Porém, confirmam que o problema reside no SISCSV, plataforma federal administrada pelo Serpro.

 

“O Detran-SP está acompanhando o tema junto aos órgãos federais competentes (SENATRAN) e reafirma seu compromisso com a privacidade e a proteção dos dados dos cidadãos paulistas”, finaliza.

 

No material recebido pelo TecMundo, foi possível apurar que a exposição atingiu registros realizados até 2024 — a fonte afirma que os logins ficaram disponíveis por tempo indeterminado. Ainda, a fonte contradiz a informação de que o sistema utilizado seria o legado, tendo enviado ao TecMundo os links referentes ao SisCSV utilizados em grupos no Telegram para acesso não-autorizado.

 

A falha no SisCSV é problema comum no Brasil

 

O problema que envolveu o SisCSV, infelizmente, é bem comum na internet: a falta de segundo fator de autenticação (2FA).

 

Credenciais (login e senha) de funcionários acabaram vazando ao longo do tempo. Com esses dados em mãos, cibercriminosos apenas logavam no sistema do DETRAN para roubar as informações. Não havia uma segunda camada de segurança, via SMS ou aplicativo terceiro, para barrar acessos fraudulentos.

 

Este tipo de ataque é conhecido na comunidade de cibersegurança como credential stuffing. De modo resumido, criminosos armazenam e utilizam senhas corporativas vazadas. Dependendo da empresa, mesmo senhas antigas continuam funcionando por uma falta de reset da equipe de infraestrutura.

 

O método de invasão é corroborado no próprio posicionamento do Serpro quando afirma que, em análise inicial, “há um cenário de acessos ao sistema por meio de uso de credenciais válidas, hipótese que ainda precisa ser confirmada até a conclusão da investigação técnica que se encontra em andamento”.

 

Ainda sobre o leak, segundo a denúncia recebida, os veículos são separados por ID dentro do sistema, o que facilita uma automação para extrair dados. O sistema completo abrigaria 5 TB, com 232 milhões de imagens de veículos — cerca de 33 milhões únicos.

COMENTE ABAIXO:

You must be logged in to post a comment Login

PUBLICIDADE