A falha no site do Ministério da Educação (MEC) estava expondo os dados pessoais de cidadãos brasileiros. Segundo o grupo de pesquisa e hacking HatBash, um API exposto permitia que qualquer pessoa realizasse consultas e pegasse informações como datas de nascimento, nomes completos, nomes de parentes e números de CPF. Dessa forma, "um cibercriminoso com boa engenharia social poderia puxar esses dados e causar problemas aos cidadãos", notou o grupo.
"O que muita gente pode fazer é gerar CPFs aleatórios e praticar algum crime", comentou o HatBash. "Com engenharia social também é possível puxar informações mais críticas, como telefone e endereço". Além do âmbito virtual, o grupo notou que as informações que eram obtidas no site poderiam ser utilizadas para crimes no mundo real, como táticas para sequestro, por exemplo.
Também conversamos com M. Toledo, 2° secretário geral do Partido Pirata, para entender um pouco mais o que a exposição desses dados poderia causar: "Só com o CPF é possível habilitar linhas telefônicas em celulares pré-pagos, já que não existe nenhuma forma de verificação. Com CPF e nome completo, a pessoa vai poder solicitar diversos serviços".
Abrir contas em bancos para solicitar empréstimos e outras linhas de crédito
Como exemplo, Toledo cita que criminosos podem solicitar cartões de crédito, cartões de loja e realizar até compras no nome de cidadãos. Isso aconteceria pela capacidade de conseguir segunda via de contas e comprovantes de residência. "Pode, ainda, em posse de nome completo, CPF e comprovante de residência — o qual pode ser facilmente falsificado também — abrir contas em bancos para solicitar empréstimos e outras linhas de crédito", nota.
Apesar de corrigir a falha, o Ministério da Educação ainda não se posicionou sobre o caso. Assim que receber um posicionamento, essa matéria será atualizada.
Nenhum comentário:
Postar um comentário