Hacker encontra dados sensíveis expostos na CAIXA, DATASUS, USP e outros

Dados de brasileiros estão expostos e possuem fácil acesso por meio da ferramenta online mais usada no mundo: o Google.

Especificamente, estamos falando de informações como nome completo, CPF, data de nascimento, endereço residencial, memorandos, documentos internos e confidenciais abertos em sites de instituições como a Universidade de São Paulo (USP), Universidade Federal do Rio de Janeiro (UFRJ), Caixa Econômica Federal, Sistema Único de Saúde (SUS), Sefaz e outros.

A descoberta foi realizada pelo pesquisador de segurança Pedro Antônio, conhecido virtualmente como "Pedr4uz", junto a sua equipe da XPSec Security, que não precisou invadir qualquer sistema para encontrar essas informações: estava tudo aberto e indexado no Google. Esta técnica de busca por dados expostos, falhas ou vulnerabilidades é conhecida como Google Hacking.   

Segundo Pedr4uz, além das informações privadas de membros de tais instituições e bancos de dados largados na internet, diversos de arquivos Word, PowerPoint & PDF internos das instituições citadas apresentavam credenciais de acesso (usuários, emails e senhas) em texto plano. Isso significa praticamente que qualquer pessoa poderia acessar informações sensíveis dos sistemas via Google. Elas estavam e ainda estão lá, prontas para serem usadas em invasões. “Por vezes, encontrei credenciais de acesso com os mais altos privilégios, como os de administrador”, afirma o pesquisador.


Descaso nacional

“Como se não bastassem informações disponíveis a rodo, suficientes para uso em inúmeras fraudes digitais, a quantidade de credenciais de acesso (inclusive administrador) expostas devido a completa despreparação e descaso com a segurança digital nacional, expõe centenas de servidores web, em posse do governo federal, a completo domínio de cibercriminosos especializados”, adiciona ao TecMundo.

Qualquer mínima brecha de segurança, se torna um livre acesso nas mãos de um cibercriminoso experiente

E não foram informações pessoais os únicos problemas encontrados. Pedro Antônio também encontrou algumas vulnerabilidades como Remote File Inclusion, Local File Inclusion, Remote Code Execution, Directory Transversal, Directory Listing e até mesmo senhas de FTP & API privadas do Datasus, completamente abertas no Google.  

Ao TecMundo, ele adiciona: “é indispensável a ressalva de que, qualquer mínima brecha de segurança, se torna um livre acesso nas mãos de um cibercriminoso experiente”, sobre como dados julgados até como públicos — CPF, no caso — pode tornar mais fácil a vida de qualquer internauta ligado ao crime.

 

Google Hacking

“Não obstante, o descaso é tal que não há necessidade nem ao mesmo de conhecimento especializado, é trivial ao ponto de ser entregue de bandeja a qualquer um que fizer as perguntas corretas ao Google”, finaliza o pesquisador.  

O Google Hacking não exige um conhecimento técnico alto nem qualquer tipo de invasão ao sistema. Dados como esses, abertos para acesso e nas mãos de qualquer pessoa, mostra como ainda falta muito trabalho para alcançarmos um nível de cibersegurança robusta nas grandes instituições brasileiras. 

Vale notar que as empresas e instituições citadas na matéria são apenas algumas que o pesquisador encontrou: o número é alarmante, seria uma tarefa impossível compilar quantas empresas estão expondo dados de seus leitores, usuários, clientes, pacientes e até assinantes.

 

---------------------------------------------------------------------------------------------------------------------    Enfim, gosta do Portal Vovo GaTu😍? Fique por dentro das noticias, e nao perca nada!😄          
Contamos consigo! Siga-nos nas redes sociais. Telegram,WhatsApp, Twitter, Facebook, Canal de Noticias no Discord ou no Pinterest, há, e nos adicione ãos favoritos do seu navegador.
🔺Lembre-se, nós não aparecemos na pesquisa do Google!
🔻

 ---------------------------------------------------------------------------------------------------------------------

Fonte: Vovo e GaTu
أحدث أقدم