Exclusivo: falha em site do Ministério do Trabalho vazou dados de brasileiros | Antivírus e Segurança | Tecnoblog

Quando o assunto é proteção de dados pessoais, o Brasil fica em posição crítica. Um exemplo recente de descuido com informações sigilosas vem do antigo Ministério do Trabalho (MTE): uma falha em uma API no site do órgão permitiu que detalhes como nome completo e endereço de cidadãos fossem extraídos com consultas de CPF, sem nenhum tipo de autenticação.

Bandeira do Brasil (imagem: ilanwet/Pixabay)

O problema foi revelado ao Tecnoblog por um especialista em segurança que se identifica apenas como Andrey. Ele conta que descobriu a vulnerabilidade na segunda semana de fevereiro.

Na ocasião, a falha foi reportada por Andrey, via e-mail, ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR) e ao próprio MTE, órgão que, na verdade, foi convertido em Secretaria do Trabalho do Ministério da Economia em 2019.

Mas, até a tarde de hoje, nenhuma solução havia sido aplicada — no contato inicial, o CTIR apenas respondeu a Andrey com uma mensagem padrão de “notificação em andamento”.

A vulnerabilidade envolvia o endereço do Juventude Web, um sistema relativamente antigo, cuja primeira versão remete a 2009. O site foi criado pelo então MTE para o Cadastro Nacional de Aprendizagem Profissional (CNAP), programa de cadastramento de entidades habilitadas para formação técnico-profissional.

Por meio de uma requisição específica para o endereço www.juventudeweb.mte.gov.br junto a um número de CPF, era possível extrair os seguintes dados da pessoa física associada ao documento, sem que o site solicitasse senha ou outro tipo de autenticação:

Usando um pequeno script fornecido por Andrey, o Tecnoblog pôde comprovar a vulnerabilidade na manhã desta sexta-feira (19). Todos as consultas de CPF testadas por nós retornaram as informações da lista.

Exemplos de dados obtidos com a falha (imagem: Emerson Alecrim/Tecnoblog)

A parte mais perturbadora é que, aparentemente, o banco de dados usado pelo sistema é compartilhado com outros serviços do governo. Isso porque, durante a verificação do problema, pudemos obter dados de pessoas que, em tese, não deveriam constar em cadastros do MTE por conta de fatores como idade ou atividade exercida.

O próprio Andrey constatou que o site do MTE revelava informações de crianças e de pessoas falecidas, por exemplo.

Como o sistema Juventude Web é antigo, é provável que a brecha tenha passado bastante tempo sendo explorada. Andrey relata ter encontrado recentemente mais de 15 scripts específicos para a vulnerabilidade em repositórios online. Quando ele soube do assunto, em fevereiro, havia encontrado somente cinco scripts, o que sugere que o problema vinha se tornando conhecido rapidamente.

Após checarmos o problema, o Tecnoblog entrou em contato com a Secretaria do Trabalho por e-mail. Por volta das 16:00 de hoje, recebemos um retorno da Secretaria de Políticas Públicas para o Emprego da Secretaria Especial de Produtividade, Emprego e Competitividade do Ministério da Economia (SPPE/SEPEC/ME) com a seguinte resposta:

Assim que tomamos conhecimento do problema, solicitamos que a página, que estava para ser desativada, fosse retirada do ar, como já aconteceu.

De fato, constatamos que, horas depois do nosso contato, o site do Juventude Web deixou de funcionar e já não dava mais acesso aos dados.

Ainda de acordo com o SPPE/SEPEC/ME, o Juventude Web foi substituído por dois sistemas de cadastro que podem ser acessados a partir da página Aprendizagem Profissional.

A Lei Geral de Proteção de Dados Pessoais (LGPD) não é válida somente para empresas do setor privado. Órgãos governamentais também estão sujeitos a sanções em caso de exposição de informações pessoais.

No entanto, cabe à Autoridade Nacional de Proteção de Dados (ANPD) analisar cada caso e decidir pela punição. Por padrão, órgãos públicos ficam sujeitos a advertências e sanções administrativas, enquanto empresas podem ser multadas em até 2% sobre o faturamento anual, limitado a R$ 50 milhões.

Punições só podem ser aplicadas a partir de agosto de 2021, porém.

Atualizado às 18:45

Fui Vazado permite saber quais dados pessoais foram expostos no vazamento que afetou 223 milhões de CPFs

Vazamento de dados expôs 223 milhões de CPFs e 40 milhões de CNPJs; Serasa Experian nega ser a fonte das informações

Sistema do Ministério da Saúde sofre invasão: hacker vaza documentos, critica equipe de TI do DataSUS e cobra ação da ANPD

Site Fui Vazado mostra se você foi afetado pelo vazamento de 223 milhões de CPFs; outra ferramenta informa sobre CNPJs expostos

Problema dava acesso a dados no SUS; falha foi causada por inserção de login e senha em código de site do Ministério da Saúde

Comentários com a maior pontuação

A essa altura do campeonato, tem algum dado de algum cidadão brasileiro que não foi vazado ainda?

Todo dia isso.

Nome da mãe

Alto lá!!!

Duvido muito mesmo.

Só gostaria de saber qual dado meu ainda não foi vazado.

Depois vem gente enchendo o saco perguntando pq uso fake nas principais redes sociais…

LGPD só serviu pra adicionar esses alertas de cookies inúteis em todos os sites.

se duvidar, até os do que ainda irão nascer já vazou kkkkkkkkkkk

A fim de conhecer melhor o cinema nacional? Veja quais são os top 10 filmes brasileiros disponíveis no Amazon Prime Video

Autoridades são quem deve cuidar de casos de vazamento de dados; pessoas precisam redobrar a atenção para evitar golpes

Confira uma seleção bastante diversa de produções do streaming que mostram a qualidade do cinema nacional

Saiba o que fazer se algum e-mail ou senha vazou na Internet e como se proteger em caso de violações

Veja como se proteger na internet criando uma senha forte para aplicativos e sites

Texto retirado de https://tecnoblog.net/423090/falha-site-juventude-web-ministerio-trabalho-mte-dados-brasileiros/