Read, hack, repeat

Exclusivo: Detran PR expõe cópia de seu banco de dados com credenciais de administradores

Ramon de Souza 0 min

A The Hack descobriu, com exclusividade, que o Departamento Estadual de Trânsito do Paraná (Detran/PR) expôs cópias de seu banco de dados na web, resultando no vazamento de um número inespecífico de credenciais de colaboradores do órgão. O incidente foi reportado à The Hack pelo pesquisador que atende pelo nome de Pedr4uz através da prática conhecida como dorking.

Dorking nada mais é do que a arte de utilizar parâmetros específicos no Google para encontrar informações sensíveis que estejam indexadas erroneamente na engine de buscas. Enquanto praticava tal ato, o especialista percebeu que o órgão regulador paranaense tinha cópias de seu database em diversos subdomínios diferentes do governo local (como os sites do COSUD e do Teatro Guaíra).

Nesses diretórios, estavam armazenados backups no formato SQL do banco de dados do Detran/PR, recheados de credenciais de administradores e usuários root do sistema. Isso inclui o email completo dos colaboradores e senhas em hash BCrypt non-salted. Isso significa que, para um atacante experiente, seria muito fácil quebrar a criptografia de tais passwords e obter acesso a sistemas internos do órgão.

Problema comum

Pedr4uz explica que esse tipo de vulnerabilidade é muito comum e que diversas outras instituições governamentais sofrem do mesmo problema, indexando documentos e diretórios sensíveis no Google. Isto posto, o dorking é uma das formas mais acessíveis e “menos técnicas” para quem deseja encontrar informações sigilosas.

Procurado pelo The Hack, a assessoria de comunicação do Detran/PR afirmou estar “analisando a situação mencionada” e preferiu não emitir um comunicado oficial a respeito no momento. No momento em que esta reportagem foi escrita, os diretórios desprotegidos já estavam fora do ar.


Compartilhar twitter/ facebook/ Copiar link
Você se inscreveu com sucesso no The Hack
Bem vindo de Volta!
Massa! Você se registrou com sucesso.
Sucess! Sua conta está completamente ativada.