O grupo hacker conhecido nas redes por @an0ncyber divulga conteúdo contendo dados de centenas de brasileiros que foram obtidos por meio de API da Caixa Econômica Federal. Segundo o grupo, a obtenção destes dados é simples de se conseguir e o método utilizado é por meio da API da Caixa.
A API é uma sigla para Application Programming Interface, um método documentado de acesso a informações que fazem com que 2 softwares conversem entre si. Este tipo de método é muito usado e é padrão em praticamente todos os desenvolvimentos de softwares. No entanto, não é comum que uma API dê acesso a dados que deveriam ser sigilosos. Esse tipo de falha apontada pelo grupo @an0ncyber é assustadora e mostra a fragilidade da segurança do maior banco do Brasil. No documento divulgado, o grupo hacker inclusive ensina como os criminosos podem fazer para sacar ilegalmente o FGTS e outros benefícios das contas de brasileiros que tiveram seus dados obtidos por esse brecha. Não é divulgado exatamente qual foi o software utilizado ou como essa falha na API deu acesso aos dados que deveriam estar protegidos pelo governo.
E essa não é a primeira vez que dados de brasileiros são vazados por órgãos do governo. Em abril de 2019, por meio do DATASUS, os dados de 2,4 milhões de brasileiros foram vazados na internet. Em outubro de 2019, o DETRAN-RN vazou o dados de mais de 70 milhões de brasileiros com CNH. No final de 2020, novamente pelo DATASUS, mais de 240 milhões de dados de saúde foram expostos na internet. Todos esses dados foram vazados em um espaço de pouco mais de 1 ano.
Milhões de Dados Vazados, Incluindo Biometria
Devido a pandemia global do COVID-19, o governo brasileiro implementou o Auxílio Emergencial para que brasileiros afetados pela queda na economia possam receber uma quantia mensal, a fim de auxiliar na subsistência. Com a chegada do Auxílio, a Caixa Econômica Federal criou o aplicativo Caixa Tem que facilitava a solicitação, saque e transferência do Auxílio Emergencial que começou a ser pago por volta de junho de 2020. Nos meses seguintes o aplicativo Caixa Tem passou a ser integrado ao saque do FGTS e outros benefícios do governo. E não demorou muito para que criminosos começassem a fraudar o saque de FGTS.
O golpe se dá da seguinte forma: usando o CPF e o nome dos trabalhadores, golpistas se cadastram no aplicativo Caixa Tem, informando um e-mail falso, e pegam o dinheiro. Como o aplicativo não solicita confirmação da identidade do usuário, os golpistas não enfrentam dificuldades para ‘roubar’ o acesso ao Caixa Tem. A Polícia Federal está investigando o caso.
Não sabemos ainda quantos brasileiros foram afetados por esta brecha de segurança. Até o momento em que este post é escrito a Caixa Econômica não se pronunciou sobre o ocorrido.
O próprio governo deveria liderar e ser exemplo em segurança da informação, mas permite que falhas como essas aconteçam. Como incentivar que empresas privadas cuidem com zelo dos dados e garantam, nos termos da Lei Geral de Proteção de Dados (LGPD) que os dados de brasileiros sejam protegidos?