O Departamento de Trânsito do Estado do Rio Grande do Sul (Detran-RS) corrigiu nesta quarta-feira (27) uma falha de segurança em um de seus sites que expôs os dados não públicos de cerca de 5,1 milhões de motoristas gaúchos. os pesquisadores Mateus Gomes e Jonathan Fonseca, que passaram os dados para o jornal Tilt (que, por sua vez, alertou o órgão estadual).
O desafio foi no Portal de Trânsito, plataforma do Detran-RS que fornece facilidades totalmente online aos motoristas locais. Segundo Mateus e Jonathan, o site forneceu acesso a duas APIs externas que permitiam aos usuários visualizar dados não públicos, tudo sem necessidade. para qualquer tipo de autenticação ou verificação de identidade.
Com isso, foi imaginável consultar o registro geral (RG), carteira nacional de habilitação (CNH) e o Cadastro Nacional de Habilitação (CNH), além de multas e placas imagináveis em nome da vítima. Com muito conhecimento em mãos, é fácil para um cibercriminoso aplicar golpes de phishing ou mesmo se passar pelo cidadão praticando a mentira ideológica pontuda.
“Além de não validar muito bem a origem das aplicações, a fórmula não tinha cobertura que se opusesse a ataques de força bruta ou solicitações de estrangulamento”, diz Mateus. Na Tilt, o Detran-RS disse que tem uma “série de dispositivos de segurança que monitoram e bloqueiam qualquer acesso anormal ou fora de ponto a essas informações”.
Inscreva seu email no Canaltech para receber atualizações sobre as últimas notícias do mundo da tecnologia.