Detran-RS falha e 5,1 MILHÕES de motoristas têm CNH e RG vazados na internet

No Rio Grande do Sul, uma falha nos sistemas do Detran (Departamento Estadual de Trânsito), expôs dados pessoais de 5,1 milhões de motoristas. Entre estes dados estavam o RG (identidade), número de CNH (Carteira Nacional de Habilitação), Renach (Registro Nacional de Carteira de Habilitação), multas e placas de carro, entre outros. A falha foi corrigida na última quarta, 27.

Detran-RS falha e 5,1 MILHÕES de motoristas têm CNH e RG vazados na internet
Detran-RS falha e 5,1 MILHÕES de motoristas têm CNH e RG vazados na internet (Imagem Google)

Estes vazamentos de dados sempre são perigosos e podem gerar um grande número de golpes. Os criminosos podem utilizar o RG para fazer compras em seu nome, por exemplo. É possível usar a CNH para clonar o veículo ou falsificar a carteira de motorista.

Ao ser questionado, o Detran-RS disse de início que Procergs (Companhia de Processamento de dados do RS) está trabalhando no caso e que se pronunciaria após as análises de segurança.

Quando o caso foi reportado, o órgão disse que possui dispositivos de segurança para monitorar e bloquear tentativas de acessos irregulares.

A falha aconteceu no Portal de Trânsito, um site do Detran-RS que possui serviços para os motoristas. Quando os analistas verificaram o código, eles notaram que era possível acessar duas APIs (um tipo de interface de consulta), sem que fosse exigido um login e senha. Em uma API eram encontrados dados dos motoristas e na outra, dos veículos.

Do motorista:

  • Número de RG (identidade)
  • Número, validade, data de Emissão e tipo de categoria da CNH
  • Número do Renach
  • Endereço e telefone da Auto-Escola que a CNH foi retirada

Do carro:

  • Número da Placa
  • Modelo do Veículos
  • Renavam (Registro Nacional de Veículo)
  • Valores, local e hora da aplicação de multas.

Os analistas disseram que o sistema não validava de forma correta a origem dos pedidos, sendo assim, qualquer pessoa com um conhecimento técnico poderia ter acesso aos dados privados dos motoristas sem nenhuma barreira de segurança.

“Além de não validar corretamente a origem das solicitações, o sistema não possuía nenhum tipo de proteção contra ataques de força bruta ou limitador de requisições”, explicou os analistas.

Eles concluíram que um atacante poderia testar diversas possibilidades até encontrar dados válidos de forma automatizada.

MAIS LIDAS

×

Deixe as notícias mais recentes encontrarem você

Você pode ficar a par das melhores notícias financeiras e atualizado dos seus direitos com apenas uma coisa: o seu email!

Paulo Amorim
Paulo Henrique Oliveira é formado em Jornalismo pela Universidade Mogi das Cruzes e em Rádio e TV pela Universidade Bandeirante de São Paulo. Atua como redator do portal FDR, onde já cumula vasta experiência e pesquisas, produzindo matérias sobre economia, finanças e investimentos.