Siga o Porto Alegre 24 Horas no Google News Entre no grupo do Whatsapp

Uma falha nos sistemas do Detran (Departamento Estadual de Trânsito), expôs dados pessoais de 5,1 milhões de motoristas. Entre estes dados estavam o RG (identidade), número de CNH (Carteira Nacional de Habilitação), Renach (Registro Nacional de Carteira de Habilitação), multas e placas de carro, entre outros. A falha foi corrigida na última quarta, 27.

Estes vazamentos de dados sempre são perigosos e podem gerar um grande número de golpes. Os criminosos podem utilizar o RG para fazer compras em seu nome, por exemplo. É possível usar a CNH para clonar o veículo ou falsificar a carteira de motorista.

Ao ser questionado, o Detran-RS disse de início que Procergs (Companhia de Processamento de dados do RS) está trabalhando no caso e que se pronunciaria após as análises de segurança.

Quando o caso foi reportado, o órgão disse que possui dispositivos de segurança para monitorar e bloquear tentativas de acessos irregulares.

A falha aconteceu no Portal de Trânsito, um site do Detran-RS que possui serviços para os motoristas. Quando os analistas verificaram o código, eles notaram que era possível acessar duas APIs (um tipo de interface de consulta), sem que fosse exigido um login e senha. Em uma API eram encontrados dados dos motoristas e na outra, dos veículos.

Do motorista:
Número de RG (identidade)
Número, validade, data de Emissão e tipo de categoria da CNH
Número do Renach
Endereço e telefone da Auto-Escola que a CNH foi retirada

Do carro:
Número da Placa
Modelo do Veículos
Renavam (Registro Nacional de Veículo)
Valores, local e hora da aplicação de multas.

Os analistas disseram que o sistema não validava de forma correta a origem dos pedidos, sendo assim, qualquer pessoa com um conhecimento técnico poderia ter acesso aos dados privados dos motoristas sem nenhuma barreira de segurança.

“Além de não validar corretamente a origem das solicitações, o sistema não possuía nenhum tipo de proteção contra ataques de força bruta ou limitador de requisições”, explicou os analistas.

Eles concluíram que um atacante poderia testar diversas possibilidades até encontrar dados válidos de forma automatizada.

Via FDR