Vazamento de Dados – SERPRO

Nosso sistema de Monitoramento Avançado Persistente identificou publicação no site de compartilhamento de texto Pastebin contendo vazamento de dados relacionados ao Serviço Federal de Processamento de Dados (SERPRO).

Não foi possível atribuir a autoria da ação, tampouco foi possível identificar qualquer justificativa para o vazamento de dados.

Vazamento de Dados – SERPRO

O vazamento inclui mais de 200 credenciais de acesso (correios eletrônicos e senhas em claro) de alguma aplicação que não foi identificada.

Pelo tamanho das senhas observadas, bem como pela composição de caracteres – sem uso de maiúsculas ou caracteres especiais – é provável que a aplicação alvejada não seja do próprio SERPRO, eis que claramente inexiste política de senha rigorosa para os registros contidos no vazamento.

Não obstante, detalhe negativo para a presença de senhas “comuns” – já abordamos o tema aqui no Lab sobre os riscos desse tipo de senha -, mesmo em se tratando da “maior empresa pública de tecnologia da informação do mundo“, foi possível observar que servidores teriam utilizado senhas numéricas sequenciais e números que remontam datas.