Read, hack, repeat

Exclusivo: órgão público de reforma agrária expõe 1,4 GB de documentos sensíveis

Ramon de Souza

O Instituto Nacional de Colonização e Reforma Agrária (INCRA), autarquia federal cuja missão é executar o plano de reforma agrária ao redor do país, deixou exposto um diretório que armazenava cerca de 1,4 GB de documentos — muitos deles contendo dados pessoais de famílias rurais contempladas ou em espera por um assentamento rural, apurou a The Hack. A denúncia foi feita por uma fonte anônima identificada simplesmente como 8time.

Diferente de outros casos similares que vimos recentemente, o vazamento não ocorreu por conta de uma má-configuração em algum serviço na nuvem (como o Elasticsearch ou o Amazon Simple Storage Service). Desta vez, o problema era simplesmente um diretório aberto em uma wiki interna do órgão. A The Hack não conseguiu apurar todos os arquivos, mas examinou uma amostra de aproximadamente 600 planilhas.

Como funciona o INCRA

Antes de mais nada, é essencial explicar — ao público que não é familiar com a instituição — o que é o INCRA e o que ele faz. Criado pelo decreto nº 1.110 de 9 de julho de 1970, o Instituto Nacional de Colonização e Reforma Agrária foca-se em gerenciar o cadastro nacional de imóveis rurais e administrar terras públicas.

De forma simplista, o que ele faz é adquirir grandes propriedades rurais de latifundiários que sejam consideradas improdutivas — ou seja, não cumpram sua função do ponto de vista econômico e/ou ambiental. Após notificação, o proprietário é desapropriado (recebendo uma devida indenização financeira) e a terra passa a ser repartida para famílias rurais com situação econômica em risco.

As propriedades são então transformadas em assentamentos — conjuntos menores de unidades agrícolas — para que tais famílias residam e se comprometam a explorá-la para seu sustento, usando exclusivamente a mão-de-obra familiar. O órgão conta ainda com vários programas de concessão de crédito facilitado para que os beneficiários possam se instalar nos lotes e adquirir equipamentos necessários para o seu trabalho.

O contexto

A atuação do INCRA sempre foi motivo de polêmica — alguns concordam com a reforma agrária como uma forma de dividir melhor as propriedades rurais e eliminar o latifúndio, enquanto outros acreditam que uma propriedade rural, por maior e menos produtiva que seja, jamais deveria ser retirada à força de seu proprietário. Independente disso, é indiscutível que o órgão vem enfrentando uma série de obstáculos desde a entrada do governo de Jair Bolsonaro.

Planilha com CPFs e dados cadastrais de famílias rurais beneficiadas; clique para ampliar

O presidente ordenou, em janeiro, que a instituição congelasse todas as suas atividades; para piorar, recentemente, o até-então presidente do INCRA, o general João Carlos Jesus Corrêa, foi demitido de seu cargo. O órgão teve uma atuação reduzida em 2019, assentando apenas 1.347 famílias contra 8.872 realocadas em 2018.

Agora, ao vazamento…

Neste momento, surge uma nova pedra no sapato para abalar a imagem da autarquia: um vazamento de dados contendo dados pessoais de famílias rurais e diversos planos de desapropriações, criações de assentamentos e concessão de créditos. Além de informações cadastrais — como nome, telefone e CPF dos beneficiários —, as planilhas apontam “interações com agentes financeiros”, mostrando datas de concessões de créditos.

A maioria dos documentos diz respeito justamente ao Sistema Nacional de Cobrança de Créditos de Instalação (SNCCI), listando os cidadãos aptos a receber créditos do INCRA dentro de determinado assentamento, tal como aqueles cujo benefício foi negado. Pelo volume de documentos, foi impossível examinar todos os arquivos e contabilizar a quantidade de afetados — porém, a The Hack estima que o número de afetados pode chegar na casa dos milhões.

Também encontramos planilhas contendo informações de controle interno do INCRA, como listagens de propriedades rurais, dados de engenheiros contratados para trabalhar nos assentamentos, número de famílias beneficiadas, uso do programa Minha Casa Minha Vida Rural (MCMVR) e repasses do INCRA. Em alguns casos, os valores dos repasses chegam ao patamar de R$ 6.417.521,12.

Existem ainda listagens de responsáveis por acompanhamentos de projetos (com nome completo, CPF e email de oficiais do Instituto), requisições de atualizações cadastrais e outros documentos diversos de cunho sensível. Os arquivos mais velhos datam de 2014; os mais recentes são de 2019.

Tais dados, nas mãos de um criminoso, são de grande valia para o disparo de fraudes altamente customizadas — tanto para as famílias rurais (que possuem menos conhecimento sobre segurança digital) quanto para o próprio INCRA, visto que a listagem de emails de oficiais facilita a invasão de seus sistemas através de phishing.

Brecha consertada, silêncio absoluto

Notificada pela The Hack sobre a vulnerabilidade no dia 24 de setembro, o INCRA nos retornou na tarde de ontem (02) dizendo simplesmente que não pretende se pronunciar sobre o assunto. No momento em que esta reportagem foi escrita, o diretório vulnerável já se encontrava fora do ar.

Compartilhar twitter/ facebook/ copiar link
Insira alguma palavra-chave. 0 Aqui está o que nós encontramos

Que tal falar conosco sobre parcerias e oportunidades?

Vamos tomar um café. Mande um email para hello@thehack.com.br.