A The Hack descobriu, com exclusividade, que o Departamento Estadual de Trânsito do Paraná (Detran/PR) expôs cópias de seu banco de dados na web, resultando no vazamento de um número inespecífico de credenciais de colaboradores do órgão. O incidente foi reportado à The Hack pelo pesquisador que atende pelo nome de Pedr4uz através da prática conhecida como dorking.
- Violações de dados custam em média R$ 5,8 milhões para empresas brasileiras, diz IBM
- Exclusivo: clínica médica deixa vazar mais de 2,3 mil laudos de pacientes
- Falha em sistema do MEC expõe dados até de Bolsonaro e Lula
Dorking nada mais é do que a arte de utilizar parâmetros específicos no Google para encontrar informações sensíveis que estejam indexadas erroneamente na engine de buscas. Enquanto praticava tal ato, o especialista percebeu que o órgão regulador paranaense tinha cópias de seu database em diversos subdomínios diferentes do governo local (como os sites do COSUD e do Teatro Guaíra).
Nesses diretórios, estavam armazenados backups no formato SQL do banco de dados do Detran/PR, recheados de credenciais de administradores e usuários root do sistema. Isso inclui o email completo dos colaboradores e senhas em hash Drupal7.
Problema comum
Pedr4uz explica que esse tipo de vulnerabilidade é muito comum e que diversas outras instituições governamentais sofrem do mesmo problema, indexando documentos e diretórios sensíveis no Google. Isto posto, o dorking é uma das formas mais acessíveis e “menos técnicas” para quem deseja encontrar informações sigilosas.
Procurado pelo The Hack, a assessoria de comunicação do Detran/PR afirmou estar “analisando a situação mencionada” e preferiu não emitir um comunicado oficial a respeito no momento. No momento em que esta reportagem foi escrita, os diretórios desprotegidos já estavam fora do ar.