A The Hack descobriu, com exclusividade, que uma página na internet está vazando dados pessoais de aproximadamente 200 mil cidadãos brasileiros — sendo que aproximadamente 16 mil registros referem-se a documentos de identificação, como Registro Único (RG) e Cadastro de Pessoas Físicas (CPF). Quem nos notificou a respeito de tal vazamento foi a OnlineProtek, uma empresa francesa de segurança cibernética.
Uma vez que o invasor saiba exatamente qual URL acessar, ele terá uma infinidade de registros (todos armazenados em texto pleno, sem organização alguma) contendo dados como nome completo, endereço residencial, número de telefone, email e algum tipo de documento pessoal de identificação — podendo ser este o RG ou o CPF. Os cidadãos expostos pertencem a diversas localidades do Brasil, mas a maioria é de origem paulista.
Tais dados são ouro na mão de criminosos cibernéticos — os dados podem ser usados para falsificação ideológica e para a aplicação de fraudes diversas, incluindo campanhas de phishing altamente direcionadas.
Afinal, de quem é?
O grande problema aqui é que nem a The Hack e nem a OnlineProtek conseguiu identificar o proprietário de tal cluster. Diferente de um bucket público no Amazon S3, por exemplo, é mais difícil identificar a origem de um cluster do Elasticsearch, identificado apenas por um número IP. Tanto nós quanto nossa fonte francesa contatamos exaustivamente órgãos e corporações para resolver o assunto com urgência, mas sem sucesso.
Felizmente, na manhã desta segunda-feira (9), o cluster já se encontrava fora do ar. Possivelmente, ele foi retirado após uma notificação enviada para o Microsoft Security Response Center (MSRC ou Centro de Respostas de Segurança da Microsoft), visto que o endereço IP em questão apontava para um servidor deles em Boydton, Virginia (EUA).
Vale lembrar que o Elasticsearch pode ser usado dentro da plataforma de soluções na nuvem Microsoft Azure — e é bem possível que esse tenha sido o caso em questão. O fato de que existiam dados pessoais de indivíduos de todo o Brasil no faz concluir que a empresa descuidada em questão possui clientes em todo o território nacional; felizmente, não foram encontrados dados bancários no vazamento.
O que é Elasticsearch
Elasticsearch é uma solução que atua como um servidor de buscas para quem vai operar uma quantidade muito grande de dados (especialmente na nuvem). Podemos descrevê-lo como um “Google pessoal” para o seu projeto web, facilitando muito a organização, catalogação e encontro de uma determinada informação (ou de um conjunto de informações que atendam a um mesmo perfil) com absurda facilidade e rapidez.
Porém, como qualquer solução web, é necessário saber configurá-la para que ela não acabe se tornando pública e permitindo que literalmente qualquer internauta consiga fazer tais buscas em um servidor privado, direto de seu navegador, usando uma série de queries específicas. É importante ressaltar aqui que não se trata de um servidor desprotegido em si, mas sim uma ferramenta de buscas desprotegida que faz consultas nesse servidor.
E agora?
Novamente, no momento em que esta reportagem foi escrita, o cluster em questão encontrava-se fora do ar; porém, não tem como garantirmos que as informações já não foram acessadas por criminosos cibernéticos em um momento anterior. Sendo assim, recomendamos cautela por parte de todos os brasileiros a respeito de eventuais golpes e fraudes online.