Milhões de dados de brasileiros estariam expostos em servidores associados a Antheus Tecnologia, segundo uma investigação do laboratório de pesquisa de segurança digital da Safety Detectives. Em artigo publicado, nesta quarta-feira (11), a organização diz ter encontrado 16 gigabytes de informações vulneráveis em um dos sistemas da empresa, incluindo dados biométricos com a digital de pelo menos 76 mil cidadãos únicos do país.

A companhia, no entanto, contesta as afirmações e diz que trata-se de um servidor teste, que não apresenta qualquer tipo de dado sigiloso. Especializada em serviços de inteligência biométrica, a Antheus trabalha com sistemas de identificação civil para emissão do RG e a carteira nacional de habilitação. Em 2001, a tecnologia da empresa foi até certificada pelo FBI. 

De acordo com o Safety Detectives, o sistema da empresa é um servidor de “identidade” em que usuários podem ter acesso ao sistema ou até registrarem uma nova “conta”. Isso é apontado pelo site como uma das principais brechas para o suposto vazamento.

Reprodução

O servidor armazena logs de APIs e do próprio sistema, além de dois índices sensíveis para identificação de digitais chamados Ridge Bifurcation e Ridge Ending. A investigação aponta que os elementos encontrados poderiam servir para a reconstrução do mapa biométrico de uma digital registrada no servidor.

“Pelo o que descobrimos, usuários mal intencionados podem acessar o servidor da Antheus e depois de extrair os dados disponíveis, poderiam usar códigos binários para recriar a imagem completa da biometria de outra pessoa”, diz o texto. Além disso, a equipe do Safety Detectives identificou vulnerabilidade no acesso a dados de reconhecimento facial, bem como endereços de e-mail e números de telefones.

Contestação

Em nota ao Olhar Digital, a Antheus contestou e disse que o “endpoint afetado é um servidor de testes, hospedado na sede de desenvolvimento, e que os dados biométricos presentes neles são públicos e podem ser livrementes copiados pela internet”. 

“Este servidor não armazena dados de clientes. Os números de telefone e emails citados, por volta de uma dezena, são somente aqueles utilizados pelos funcionários da equipe de testes. Não existem dados sigilosos neste servidor. As informações acessadas são apenas logs de eventos de servidor no formato texto, gerados para validação dos testes do software, não se tratam de imagens ou registros biométricos.

Além disso, a Antheus utiliza um método de biohashing (chamado ‘salting’) na geração de seus códigos de impressões digitais, tornando criptograficamente impossível a obtenção da imagem original através das informações das minúcias, conforme equivocadamente afirma a notícia.”, esclarece o comunicado.

Dados sensíveis

Esse tipo de vazamento seria extramamente preocupante, uma vez que digitais e demais informações biométricas são únicas e não podem ser alteradas. Logo, quando esse tipo de material é roubado, os criminosos possuem dados que não podem ser modificados, como senhas comuns. 

Reprodução

As informações roubadas poderiam ser usadas por criminosos para obter acesso a informações restritas, prática de crimes financeiros, phishing, chantagem virtual, crimes de extorsão e demais delitos em posse da identidade de outra pessoa.

Fonte: Safety Detectives