Vazamento de Dados – BoaVista SCPC

Nosso sistema de Monitoramento Avançado Persistente detectou nova publicação, em 04/09, sobre o  vazamento de dados da empresa Boa Vista Serviços. Nela o autor indica links para download de dados de exatos 3 milhões de brasileiros, os quais seriam originários da referida empresa.

 
Vazamento de Dados – BoaVista

A nova publicação vem em tom de desabafo de um pesquisador, ao que tudo indica o primeiro a identificar falhas de segurança na Boa Vista Serviços. Motivado pelos debates da Lei Geral de Proteção de Dados Pessoais (LGPDP) o pesquisador buscou vulnerabilidades na API da referida empresa:

[Blá, blá, blá aleatório pra parecer “cult”…] Nas últimas semanas descobri que a Boa Vista SCPC vendia dados dos brasileiros para terceiros, empresas, instituições financeiras e toda a corja que lucra com informações da vida alheia; através de uma dita API, fui então investigar, se há uma API, há um endpoint e se há um endpoint, há um servidor e se há um servidor, há informações que podem estar (estão!!!) desprotegidas, como toda boa e velha empresa brasileira, onde só se preocupam com o lucro e desprezam o que realmente é importante, a privacidade e sigilo dos dados das pessoas.

Os pesquisador vai adiante em seu relato e indica que as falhas era tão severas que não exigiram ataque contra o servidor:

Após encontrar o endereço do tal servidor, (hoje offline, já que os canalhas não tiveram a decência de admitir o próprio erro e tiraram o endpoint do ar, após a publicação da matéria no Tecmundo, no início desta semana), o que mais me surpreendeu foi o fato de que nem precisei fazer qualquer ataque contra o servidor, a API estava aberta e com uma simples enumeração de usuário era possível obter dados de qualquer pessoa, desde que estivesse disponível para pesquisa.

O próprio pesquisador expressou surpresa com a realidade que encontrou ao identificar o servidor alvo:

Isso foi realmente muito surpreendente, eu esperava que como todo porco capitalista, eles ao menos se preocupassem com os dados de quem alimenta as suas contas bancárias, suas festas a lá Sodoma e Gomorra, o passeio das esposas peruas na Oscar Freire, em NY, Miami, Paris, enfim… Mas não, tava tudo aberto e pra qualquer um acessar.

Contudo, a informação mais estarrecedora é a que indica que o pesquisador NOTIFICOU A EMPRESA BOA VISTA e nenhuma corrção foi aplicada.

O motivo do meu contato é: Eu avisei a Boa Vista da falha, enviei um e-mail, com um report detalhado, explicando a situação, a gravidade dos fatos e eles CAGARAM pra mim, pro meu report, não mandaram sequer um obrigado e pior ainda, NÃO CORRIGIRAM A FALHA!

Após ver que até os fracassado da Fatal Error Crew tinham acesso aos dados, decidi então tornar público, com envio de evidências e tudo mais (para o Tecmundo, também) e a Boa Vista continou negando, agindo como se nada tivesse acontecido, parecem até o TSE jurando que a Urna é segura.

Por fim o pesquisador apresenta um prazo para que publicação de matérias jornalísticas sobre o assunto, a fim de autoridades tomem providências judicias cabíveis.

Vocês terão até o fim de semana para publicar a matéria, do contrário publicarei eu mesmo os dados na internet, para que todo mundo possa ver.

Essa não é a única ameaça constante do texto do pesquisador, ele indica que outras corporações seriam alvos na sequência:

Enfim, não preciso destilar minha revolta contra esses canalhas da Boa Vista, tem gente pior na Faria Lima e que logo vão cair também.

Abaixo seguem imagens na íntegra da manifestação publicadas pelo pesquisador nos sites de compartilhamento de texto Pastebin e Ghostbin.

Vazamento de Dados – BoaVista
Vazamento de Dados – BoaVista

O DefCon Lab saúda incitivas de revelação responsável de falhas e vulnerabilidades. Também lamentamos que, caso a empresa tenha sido alertada previamente, não tenha tomado providências necessárias para proteção de dados pessoais de cidadãos brasileiros.

A veracidade dos dados constantes no vazamento não foi avaliada pelo Lab, sendo apenas possível observar que o seu conteúdo realmente indica arquivo com 3 milhões de linhas onde nome, CPF, CEP, logradouro, nome da mãe, data de nascimento, titular e último score foram disponibilizados ao público.