Os dados dos 5,1 milhões de motoristas do Rio Grande do Sul foram expostos devido a uma falha nos sistemas do DMV-RS. Com APIs que merecem ser privadas, era concebível acessar dados como RG, CNH (carteira nacional de habilitação), Renach (carteira nacional de habilitação) e Renavam (registro nacional de veículos).
CNH (Imagem: Divulgação/ Detran-RS)
O caso foi revelado através do UOL Tilt descoberto na reportagem do técnico de rede Mateus Gomes, a falha foi descoberta no portal de trânsito, página online do Detran-RS com motoristas, a fórmula permitiu acesso não autenticado a um conjunto de dados, que foi coletado em uma API do motorista e uma API do veículo.
Gomes disse ao UOL Tilt que a fórmula não havia validado a origem das solicitações de API e, portanto, permitia o acesso com expertise, acrescentando que a fórmula da agência de navegação não tinha cobertura contra ataques de força bruta, nem limites de requisições.
Aqui está o conhecimento estabelecido na API de Pilotos:
E esse é o conhecimento exposto na API do veículo:
O UOL Tilt informou o Detran-RS, que corrigiu o desafio nesta quarta-feira (27). A empresa disse que a Procergs (empresa de processamento de conhecimento no Rio Grande do Sul) investiga o caso.
Ainda não há dados que o conhecimento exposto na fórmula do Detran-RS tenha recebido por terceiros, porém, este é mais um caso de falha de segurança no processamento de dados, nesta semana o Tecnoblog alertou para um vazamento que expôs o conhecimento de mais de 220 milhões de pessoas e cem milhões de carros no Brasil.
As informações de vazamento do veículo consideram precisamente 104. 193. 161 registros, adicionando make, modelo, chassi e número da placa. O número representa quase todos os registros no Brasil. Segundo o Denatran, o país tinha 107. 948. 371 carros registrados até dezembro de 2020.
Os dados podem ser usados em atos ilegais, como clonagem do chassi, clonagem do documento e envio de multas falsas ao proprietário do veículo. Ainda não há evidências da origem desse vazamento, mas se for descoberto, os culpados podem ser supervisionados através da LGPD (Lei Geral de Proteção de Dados).
A página online do Detran-RN previa ao conhecimento não público de outras 70 milhões de pessoas com CNH no Brasil; Falha de segurança fixa
A Secretaria de Fazenda de SP tem visualização legal de fórmula interna e “espionagem” para notas fiscais e contas do governo.
Intel L1TF é uma grande vulnerabilidade que afeta os processadores Core e Xeon.
O repositório desprotegido continha informações não públicas de parceiros de benefícios vr, adicionando nome, número de segurança social, número de telefone e endereço de e-mail
O Vaza Fui mostra se foi afetado pelo vazamento de 223 milhões de CPF; alguns outros relatórios de ferramentas sobre CNPJ expostos
Avaliações mais bem avaliadas
Felizmente, minha CNH está no sistema do Detran.