Falha em servidor expôs dados de 21 mil funcionários da Claro e NET

Uma grave exposição de dados pode ter atingido cerca de 21 mil funcionários da Claro e da NET, entre técnicos e terceirizados. Os registros estavam disponíveis em um servidor mal configurado, pertencente à área de manutenção da companhia, com pastas que traziam cópias de documentos de identificação e até contratos com a assinatura dos prestadores — todo o volume estava disponível publicamente e podia ser acessado por qualquer pessoa.

• Lojas Renner afirma que ciberataque não resultou em vazamento de dados
• Primeira onda de ataques baseados em megavazamento começa a chegar ao Brasil
• Brasil é origem de grande tráfego do maior ataque de DDoS da história

O banco de dados estava dividido em pastas, cada uma pertencente a um trabalhador e identificadas com o login individual. Dentro, podiam ser encontrados cópias do RG e carteiras de habilitação de cada um deles, além de certificados de regularidade do CPF e contratos que traziam a assinatura dos profissionais, além de outras informações como endereço residencial e a empresa terceirizada pela qual foram contratados.

De acordo com o analista de sistemas e consultor em Tecnologia da Informação Francisco Cavalcante, que denunciou a brecha para o Canaltech, os dados fazem parte de portais internos da Claro para a área técnica. Os termos de cessão de imagem, por exemplo, permitem que as fotos dos profissionais apareçam em aplicativos e sejam compartilhadas com os clientes durante visitas, por exemplo.

Fora deste ambiente, entretanto, podem ser usados para a prática de fraudes e golpes contra os indivíduos. Segundo Cavalcante, as informações poderiam ser utilizadas para diferentes fins como o envio de cobranças falsas, abertura de contas em bancos, solicitação de empréstimos e a assinaturas de serviços, incluindo aqueles da própria Claro. Até mesmo o financiamento de veículos e bens maiores poderia ser realizado com tais informações, aponta o especialista.

“[O servidor] trazia informações de funcionários e terceirizados do Brasil inteiro”, continua ele, apontando que apenas a pasta onde estavam as informações era acessível publicamente, com o servidor em si, usado pelo sistema interno da área técnica, exigindo login e senha para ser acessado. “Com um comando ou script básico, era possível baixar todo o conteúdo do diretório, com cada pasta possuindo entre um e três documentos”, explica o especialista.

Enquanto alguns diretórios traziam cópias digitais de documentos de identificação, outros tinham também comprovantes de regularidade do CPF; apenas o termo de cessão de imagem parecia ser uma constante. Cavalcante ressalta, ainda, que a manipulação de tais informações sem a devida segurança é uma prática natural entre os funcionários, com o compartilhamento de capturas de tela até mesmo de sistemas internos sendo comum.

Seja como for, afirma, é difícil entender exatamente o nível de exposição desses dados a partir de um ambiente tão vulnerável. “Não há como precisar se os dados foram expostos a mais pessoas, principalmente indivíduos mal-intencionados, já que estavam em uma página simples e aberta, sem códigos ou scripts de contagem de acessos”, completa.

Também não é possível saber por quanto tempo as informações estavam disponíveis publicamente. O Canaltech recebeu a denúncia em 19 de agosto e, no dia seguinte, comunicou a Claro sobre o assunto, com o fechamento do servidor sendo identificado seis dias depois, data em que os documentos baixados como amostra também foram apagados pela reportagem. Confira a íntegra do comunicado da operadora:

A Claro informa que tomou conhecimento da denúncia e que estão sendo tomadas providências para apuração. Entre as ações, a imediata desabilitação do endereço em questão. Destacamos que é política da Claro a proteção da sua infraestrutura, de acordo com as boas práticas, de modo a evitar acessos indevidos.

Atenção para mau uso

A recomendação aos indivíduos é de cautela e acompanhamento quanto à possibilidade de utilização indevida de seus dados pessoais. Cavalcante sugere, por exemplo, o uso do Registrato, uma ferramenta disponibilizada pelo Banco Central que permite analisar contas, dívidas e outras movimentações financeiras em nome dos cidadãos, podendo ajudar a identificar fraudes.

“Ao menor sinal ou alerta de dívida não reconhecida, é preciso agir rápido para que não haja prejuízo maior para a vítima, contestando [a cobrança] imediatamente e consultando um advogado”, finaliza o analista. Ele também cita serviços de análise de crédito, como Serasa e Boa Vista, como caminhos para acompanhar uma eventual utilização indevida das informações.

Aos eventualmente atingidos, cabe também prestar atenção em contatos por telefone, e-mail ou mensagens, em nome de empresas ou da própria Claro ou NET. O ideal é evitar preencher cadastros, passar informações pessoais e bancárias, clicar em links ou baixar soluções sem ter certeza absoluta sobre a veracidade do contato. Na dúvida, prefira os meios de atendimento oficiais.