Vulnerabilidade em site do Detran-RS expôs dados de 5,1 milhões de condutores

O Departamento Estadual de Trânsito do Rio Grande do Sul (Detran-RS) corrigiu, na última quarta-feira (27), uma brecha de segurança em um de seus sites que estava expondo informações pessoais de aproximadamente 5,1 milhões de condutores gaúchos. O problema foi descoberto pelos pesquisadores Mateus Gomes e Jonathan Fonseca, que repassaram a informação ao jornal Tilt (que, por sua vez, alertou o órgão estadual).

• Vazamento de dados pode ter exposto CPF de quase toda a população brasileira
• Vazamento de dados: contingência, irresponsabilidade ou simples incompetência?
• Vazamento em servidor do governo de São Paulo expõe dados de 28 mil pessoas

O problema estava no Portal de Trânsito, uma plataforma do Detran-RS que oferece serviços diversos de forma totalmente online aos motoristas locais. Segundo Mateus e Jonathan, tal site concedia acesso a duas APIs externas que possibilitavam a consulta de informações pessoais dos condutores — tudo sem a necessidade de fazer qualquer tipo de autenticação ou verificação de identidade.

Com isso, era possível consultar números do Registro Geral (RG), da Carteira Nacional de Habilitação (CNH) e do Registro Nacional de Carteira de Habilitação (Renach), além de eventuais multas e placas de automóveis no nome da vítima. Com tantos dados em mãos, fica fácil para um criminoso cibernético aplicar golpes de phishing ou até mesmo personificar o cidadão, praticando a famosa falsidade ideológica.

“Além de não validar corretamente a origem das solicitações, o sistema não possuía nenhum tipo de proteção contra ataques de força bruta ou limitador de requisições”, explicou Mateus. Ao Tilt, o Detran-RS afirmou que conta com uma “série de dispositivos de segurança que monitoram e bloqueiam eventuais acessos irregulares ou indevidos a essas informações”.

Fonte: Tilt