Maior entidade de classe da indústria do país, a Federação das Indústrias do Estado de São Paulo (FIESP) teve seu banco de dados exposto na internet por vários dias. Isso fez com que as informações pessoais de quase 35 milhões de brasileiros ficassem públicas. Entre os dados vazados estão nome, sexo, RG, CPF, endereço completo, e-mail e número de telefone.
A notícia foi publicada no blog da empresa de segurança cibernética HackenProof, que descobriu uma base de dados pública sob o nome “FIESP” no motor de buscas Elasticsearch, contendo 34.817.273 registros pessoais de cidadãos brasileiros. Essa base de dados foi encontrada no dia 12 de novembro e estava aberta para consulta de qualquer pessoa.
De acordo com o pesquisador responsável, Bob Diachenko, a FIESP foi notificada imediatamente, mas nunca enviou uma resposta à empresa. O banco de dados ficou off-line só depois que um seguidor da HackenProof no Brasil, chamado Paulo Brito, conseguiu entrar em contato com um representante da FIESP pelo telefone e informá-lo sobre o vazamento dos dados.
Em contato com o canal Tecnoblog, a assessoria de imprensa da FIESP disse que o caso está sendo apurado internamente desde ontem, mas não ofereceu mais detalhes.
A HackenProof descobriu outros dois servidores abertos que estão expondo informações pessoais dos brasileiros. Chamados “celulares” e “externo”, eles contêm dados pessoais de 6.986.604 e 10.558.155 pessoas, respectivamente. Ao que tudo indica, estes bancos de dados ainda estão online.
A culpa pela exposição dos dados pode ser da FIESP
Segundo a HackenProof, o vazamento deste banco de dados pode ter acontecido porque ele não exigia login e senha para acesso no motor de buscas Elasticsearch. Deixar este acesso aberto permite a instalação de malware ou ransomware nos servidores de busca, abrindo o caminho para que cibercriminosos possam gerenciar todo o sistema com privilégios administrativos completos, podendo roubar ou mesmo destruir tais informações.
Infelizmente, ainda não sabemos quais são as dimensões deste vazamento, pois não é possível dizer ao certo há quanto tempo esses dados estavam expostos, e nem quantas pessoas tiveram acesso a eles.
“A FIESP está apurando eventual acesso a sua base de dados cadastrais, no dia 12 de novembro, por uma empresa que alega ser de segurança digital. Nesta base há somente dados cadastrais, não contendo informações sensíveis e nem senhas. Não há, até o momento, notícia de que qualquer informação pessoal do cadastro tenha sido exposta.
A FIESP entrou em contato com a referida empresa, que afirmou não ter tornado públicos e ter destruído posteriormente os dados a que alega ter tido acesso. Afirmou ainda que seu objetivo foi expor eventuais vulnerabilidades para prevenção de potenciais vazamentos.
A FIESP reforça o seu compromisso de sempre zelar pela segurança de seus ambientes.“