Falha de segurança teria exposto dados biométricos de 76 mil brasileiros

Os dados pessoais e biométricos de pelo menos 76 mil brasileiros foram expostos em uma grande falha de segurança nos servidores da Antheus Tecnologia. Ao todo, são mais de 2,3 milhões de registros individuais comprometidos em uma infraestrutura desprotegida, disponível em um servidor Elasticsearch e sem nenhuma verificação de credenciais.

Ao todo, são 16 GB de dados altamente sensíveis que incluem 76 mil registros individuais de impressões digitais, mas o time da Safety Detectives, liderado pelo pesquisador e responsável pela descoberta Anurag Sen, aponta para um comprometimento ainda maior e que também envolve endereços de e-mail e números de telefone da companhia responsável pelo sistema.

A empresa brasileira, sediada em Curitiba (PR), presta serviços para órgãos públicos como o DETRAN e as polícias Militar e Civil, além dos governos estadual e federal e departamentos de investigação criminal. Entre os serviços prestados está a emissão de documentos como RGs e carteiras de habilitação, o que torna o comprometimento desse banco de dados um pouco mais grave: ele permitia não só o acesso às informações, mas também o registro de novos usuários.

De acordo com as informações da Safety Detectives, os 16 GB de informação estavam divididos em 91 índices, dois dos quais foram analisados pela equipe de segurança para obtenção de um panorama sobre os dados disponíveis. Em ambos os casos, os especialistas acreditam se tratarem de pastas usadas por dois clientes distintos da Antheus, que usam os servidores da companhia para armazenar informações. Os envolvidos não foram identificados diretamente, assim como os cidadãos comprometidos pela exposição dos dados.

Além dos dados corporativos e pessoais, o time localizou informações relacionadas a reconhecimento facial e análises de padrões ligados às impressões digitais disponíveis no banco de dados. Tais informações podem ser utilizadas para recriar o mapa biométrico dos usuários, algo que pode servir para acessar servidores restritos e protegidos por esse formato.

De acordo com a Safety Detectives, não é possível saber se os dados foram acessados, extraídos ou comprometidos de alguma maneira durante o tempo em que o banco de dados esteve exposto. Uma linha do tempo relacionada à descoberta da brecha não foi revelada, mas a empresa de segurança confirmou ao Canaltech que a Antheus foi informada sobre o caso e que a vulnerabilidade foi solucionada antes da divulgação do relatório.

Efeitos práticos

O principal perigo para os cidadãos atingidos é o uso de suas informações pessoais e, principalmente, biométricas em fraudes. A posse de dados sensíveis dessa categoria pode levar à invasão de contas pessoais, golpes bancários e tentativas de extorsão ou ameaça, além de ataques que envolvam engenharia social ou direcionamento.

• Microsoft e parceiros de 35 países desmontam rede botnet criminosa Necurs
• Hackers estão usando apps sobre coronavírus para roubar dados e infectar PCs
• Internet segura: falta muito para o Brasil chegar lá?

De acordo com a Safety Detectives, o maior problema reside no fato de que informações biométricas como impressões digitais ou detalhes de reconhecimento facial não podem ser alteradas como senhas ou e-mails usados para acesso. Os hackers, uma vez em posse desse tipo de dado, possuem um registro permanente que pode ser utilizado na prática de fraudes bancárias ou digitais. Além disso, os especialistas apontam para o risco envolvendo o acesso a sistemas confidenciais, bem como uma possível manipulação destas plataformas.

Aos possíveis atingidos, a recomendação é ficar atento a tentativas de contato por telefone, e-mail ou mensageiros instantâneos. Vale a pena fazer uma checagem no estado da segurança das contas em redes sociais e outros serviços, trocando senhas repetidas ou inseguras, com poucos caracteres ou relacionadas a informações pessoais como data de nascimento, nomes de familiares ou animais de estimação, por exemplo.

Além disso, os especialistas ressaltam o cuidado na instalação de apps no celular ou softwares no computador, além de cautela no preenchimento de cadastros ou envio de informações pessoais usando redes sem fio desprotegidas. Na dúvida, é melhor desconfiar e não seguir adiante com tais ações.

Resposta

Em nota oficial enviada ao Canaltech, a Antheus Tecnologia negou a exposição dos dados de seus clientes, afirmando nunca ter sido vítima de furto de informações e que seu software é seguro e usa criptografia forte, jamais tendo sofrido qualquer invasão. De acordo com a empresa, os dados acessados pela Safety Detectives estavam disponíveis em um servidor de testes e são públicos, sendo livremente acessíveis a partir do site do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês), órgão ligado ao departamento de comércio do governo dos Estados Unidos

De acordo com a Antheus, cerca de 10 e-mails e telefones de funcionários estão no banco de dados e pertencem a membros da equipe de testes, enquanto os logs de eventos são relacionados a validações de testes de softwares, não representando informações sigilosas. Ainda, a empresa afirmou que utiliza métodos de biohashing para impedir a reconstituição de impressões digitais a partir das informações de minúcias.

Confira a íntegra do comunicado:

A empresa Antheus Tecnologia Ltda, fundada em 1996, sendo referência em biometria no Brasil, esclarece ao público que:
- O seu software é seguro, utiliza criptografia forte, e nunca sofreu qualquer tipo de invasão digital.
- Os dados de seus clientes estão seguros e nunca foram expostos.
- Nunca foi vítima de furto de dados.

Com relação à notícia veiculada esta semana, referindo-se ao vazamento de informações, a Antheus esclarece que o endpoint afetado é um servidor de testes, hospedado na sede de desenvolvimento, e que os dados biométricos presentes nele são públicos e podem ser livremente copiados pela internet. Este servidor não armazena dados de clientes. Os números de telefone e e- mails citados, por volta de uma dezena, são somente aqueles utilizados pelos funcionários da equipe de testes. Não existem dados sigilosos neste servidor.

As informações acessadas são apenas logs de eventos de servidor no formato texto, gerados para validação dos testes do software, não se tratam de imagens ou registros biométricos.

Além disso, a Antheus utiliza um método de biohashing (chamado 'salting') na geração de seus códigos de impressões digitais, tornando criptograficamente impossível a obtenção da imagem original através das informações das minúcias, conforme equivocadamente afirma a notícia.

A Antheus agradece o apoio e a confiança de seus clientes e parceiros e reitera sua preocupação máxima com a segurança.

A reportagem foi atualizada em 12/03/2020, às 11h06, com nota oficial da Antheus Tecnologia.

Fonte: Safety Detectives